1. Langues officielles et consentement exprès

1.1. Langue de l'assistance en confidentialité : l'anglais et le français sont les seules langues officielles et juridiquement contraignantes de cette Politique et de toutes les communications avec notre Responsable de la protection des renseignements personnels.

1.2. Consentement exprès et confidentialité par défaut : en vertu de la Loi 25 du Québec, les plateformes doivent configurer les paramètres de confidentialité au niveau le plus élevé par défaut. Nous y parvenons grâce à notre architecture « local d'abord ». Nous reconnaissons que les préférences sexuelles, l'état de santé et les identifiants personnels sont des données très sensibles. Nous ne collectons ni ne détenons ces données sensibles sur nos serveurs. En utilisant la Plateforme, vous consentez à ce que l'application inscrive ces données strictement dans le localStorage de votre appareil.

2. Transmission des données et autonomie de l'utilisateur (le concept des « rails »)

La Plateforme agit strictement comme un canal logiciel sécurisé. Les attributs très sensibles (statut VIH, comptes de partenaires, préférences PNP, etc.) n'existent que sur votre appareil. Ces données sont transmises exclusivement de pair à pair (par ex. via codes QR) sous votre contrôle physique direct. Votre acte physique d'afficher ou de numériser un code QR constitue votre consentement actif à partager ces données avec un autre utilisateur. Nous déclinons toute responsabilité quant à la diffusion des données que vous choisissez de transmettre de pair à pair.

3. Données traitées, sous-traitants et partage inter-applications

3.1. Sous-traitants autorisés : pour exploiter la Plateforme, nous utilisons une infrastructure tierce spécialisée. En utilisant la Plateforme, vous consentez au traitement par :

• Google Cloud et Firebase (É.-U./Multi) : authentification anonyme (UID), OAuth Google facultatif et hébergement de la base de données principale (Firestore).
• Oracle Cloud Infrastructure (Canada) : calcul d'arrière-plan principal.
• Cloudflare (mondial) : CDN, stockage objet R2, Pages (hébergement de nos interfaces SPA) et Email Workers (notifications financières / de support).
• AWS Rekognition, Google Vision et Google Gemini (É.-U.) : modération éphémère par IA des images et textes (par ex. textes de bio, traduction).
• Leaflet / OpenStreetMap et what3words : cartographie locale (reçoivent l'IP / la zone d'affichage strictement pour le rendu).
• Mixpanel (É.-U.) : analyses produit dépersonnalisées et attribution marketing.

3.2. Partage dans l'écosystème (ConnexRoulette) : si vous utilisez la fonction de présence en lieu physique (« check-in »), votre UID, l'horodatage et l'emplacement du lieu sont stockés côté serveur dans Firestore. Avec votre consentement explicite, ces données et votre photo de profil peuvent être lues de manière sécurisée par notre application secondaire ConnexRoulette pour le calcul de compatibilité.

3.3. Décision automatisée (Loi 25) : le contenu téléversé est soumis à une modération automatisée par IA pour détecter le MESE et le contenu illégal. Ces systèmes prennent des décisions automatisées pouvant entraîner des téléversements bloqués ou des suspensions. Vous avez le droit de connaître les critères utilisés et de demander une révision humaine en contactant notre Responsable.

3.4. Données de sécurité côté serveur et accès administrateur : pour maintenir un environnement sûr, les listes de blocage mutuel et les métadonnées de modération sont stockées dans Firestore. Les administrateurs désignés de ConnexSauna disposant de claims de sécurité personnalisés ont un accès restreint à ces métadonnées pour faire respecter les politiques de sécurité.

4. Analyses, géolocalisation et suivi promotionnel

4.1. Masquage IP au niveau de l'edge : les adresses IP des clients sont supprimées à la périphérie Cloudflare avant d'atteindre les serveurs d'origine. Nous n'enregistrons pas de coordonnées GPS continues.

4.2. Suivi des campagnes (Mixpanel) : nous refusons strictement de déployer des cookies de suivi multisite invasifs (de type Meta Pixel). Cependant, lorsque vous numérisez un code promo en copie papier, nous utilisons Mixpanel pour enregistrer un événement simple et dépersonnalisé contenant : (1) le code promo, (2) un horodatage et (3) une approximation grossière, à l'échelle de la ville, de l'emplacement de la numérisation (dérivée d'une IP masquée). Ceci sert strictement à mesurer l'efficacité du marketing physique. Les échanges de codes promo liés à un UID sont suivis de manière sécurisée côté serveur strictement pour l'intégrité du registre.

5. Sécurité des données et ÉFVP

Le traitement principal d'arrière-plan est localisé au Canada. La mise en cache à la périphérie mondiale et l'analyse par IA sont gérées au-delà des frontières internationales. Conformément à la Loi 25 du Québec, nous avons réalisé des Évaluations des facteurs relatifs à la vie privée (ÉFVP) concernant ces transferts transfrontaliers. En utilisant la Plateforme, vous reconnaissez que vos données numériques peuvent être traitées hors du Canada.

6. Calendrier définitif de conservation, effacement et anonymisation

6.1. Calendrier de conservation : nous conservons les données seulement aussi longtemps que strictement nécessaire :

• Photos de profil : conservées sur un cycle glissant de 28 jours dans le stockage R2. L'utilisation de la fonction « rotation d'identifiant photo » copie explicitement la photo vers un nouveau chemin, ce qui réinitialise ce compteur.
• Journaux d'audit et scores de crédibilité de signaleur : conservés 90 jours pour l'intégrité de la sécurité.
• Échanges de Bons / promotions et check-ins : conservés indéfiniment, strictement pour l'intégrité du registre financier et le bon fonctionnement de l'application, jusqu'à la suppression du compte.
• Jetons du palier Galerie : les codes d'accès à la Galerie sont des titres au porteur cryptographiques expirant dans 12 mois. Nous ne pouvons pas récupérer un code perdu.

6.2. Droit à l'effacement et cessation de la diffusion : le déclenchement de la suppression du compte amorce une cascade automatisée qui purge votre identité Firebase, vos documents Firestore et votre stockage photo R2. En vertu de la Loi 25, vous avez le droit d'exiger que nous cessions de diffuser vos informations et de désindexer les liens associés à votre nom.

6.3. Anonymisation : lorsque les données sont « anonymisées », nous adhérons strictement à la Loi 25 : les données sont cryptographiquement modifiées de sorte que la personne ne puisse jamais être réidentifiée.

7. Réponse aux incidents

En cas d'incident de confidentialité présentant un risque réel de préjudice important (LPRPDE) ou de blessure grave (Loi 25) : pour les utilisateurs hors Québec, nous avisons le CPVP. Pour les résidents du Québec, nous aviserons la CAI et les utilisateurs concernés dans les sept (7) jours suivant la confirmation, conformément à la Loi 25.

8. Contacter notre Responsable de la protection des renseignements personnels

Pour les demandes de portabilité ou d'effacement des données :

Courriel : privacy@connexsauna.link

Adresse : [adresse postale corporative à insérer, Canada]

1. Official Languages and Express Consent

1.1. Language of Privacy Support: English and French are the sole official and legally binding languages of this Privacy Policy and all communications with our Privacy Officer.

1.2. Express Consent and Privacy by Default: Under Quebec Law 25, platforms must configure privacy settings to the highest level by default. We achieve this through our local-first architecture. We recognize that sexual preferences, health status, and personal identifiers are highly sensitive. We do not collect or hold this sensitive data on our servers. By using the Platform, you consent to the app writing this data strictly to your device's localStorage.

2. Data Transmission and User Autonomy (the "Rails" Concept)

The Platform acts strictly as a secure software conduit. Highly sensitive attributes (e.g., HIV status, body-count tallies, PNP preferences) exist only on your device. This data is transmitted exclusively peer-to-peer (e.g., via QR codes) under your direct physical control. Your physical act of displaying or scanning a QR code constitutes your active consent to share that data with another user. We disclaim all liability for dissemination of data you choose to transmit peer-to-peer.

3. Data We Process, Subprocessors, and Cross-App Sharing

3.1. Authorized Subprocessors: To operate the Platform, we use specialized third-party infrastructure. By using the Platform, you consent to data processing by:

• Google Cloud & Firebase (US/Multi): anonymous authentication (UIDs), optional Google OAuth, and core database hosting (Firestore).
• Oracle Cloud Infrastructure (Canada): primary backend compute.
• Cloudflare (Global): CDN, R2 object storage, Pages (hosting our SPA interfaces), and Email Workers (financial / support notifications).
• AWS Rekognition, Google Vision, & Google Gemini (US): ephemeral AI moderation of images and text (e.g., bio text, translation).
• Leaflet / OpenStreetMap & what3words: local-area mapping (receive IP / viewport strictly for rendering).
• Mixpanel (US): aggregated, de-identified product analytics and marketing attribution.

3.2. Ecosystem Data Sharing (ConnexRoulette): If you use the venue check-in feature, your UID, timestamp, and venue location are stored server-side in our Firestore database. With your explicit consent, this check-in data and your profile photo may be securely accessed by our secondary ecosystem app, ConnexRoulette, for compatibility scoring.

3.3. Automated Decision-Making (Law 25 Compliance): Uploaded content is subject to automated moderation via AI to detect CSAM and illegal content. These systems make automated decisions that may result in blocked uploads or suspensions. You have the right to know the criteria used and request human review of suspensions by contacting our Privacy Officer.

3.4. Server-Side Safety Data & Admin Access: To maintain a safe environment, server-side block lists (mutual blocking) and user moderation metadata are stored in Firestore. Designated ConnexSauna administrators with custom security claims have restricted access to this metadata to enforce safety policies.

4. Analytics, Geolocation, and Promo Tracking

4.1. Edge-Level IP Masking: Client IP addresses are stripped at the Cloudflare edge before reaching origin servers. We do not log continuous GPS coordinates.

4.2. Campaign Tracking (Mixpanel): We strictly refuse to deploy invasive cross-site tracking cookies (such as Meta Pixels). However, when you scan a hard-copy promotional code, we use Mixpanel to log a simple, de-identified event containing: (1) the promo code, (2) a timestamp, and (3) a rough, city-level approximation of the scan location (derived from a masked IP). This is used strictly to measure physical marketing effectiveness. Promo redemptions linked to a UID are securely tracked server-side strictly for ledger integrity.

5. Data Security and PIAs

Backend processing is localized in Canada. Global edge caching and AI analysis are handled across international borders. In compliance with Quebec Law 25, we have conducted Privacy Impact Assessments (PIAs) regarding these cross-border data transfers. By using the Platform, you acknowledge that your digital data may be processed outside of Canada.

6. Definitive Retention Schedule, Erasure, and Anonymization

6.1. Retention Schedule: We retain data only as long as strictly necessary:

• Profile Photos: retained on a rolling 28-day lifecycle in R2 storage. Using the "Photo ID Rotation" feature explicitly copies the photo to a new path, resetting this clock.
• Audit Logs & Reporter Credibility Scores: retained 90 days for safety integrity.
• Voucher / Promo Redemptions & Check-ins: retained indefinitely strictly for financial-ledger and app-functionality integrity, until account deletion.
• Gallery Tier Tokens: Gallery access codes are cryptographic bearer instruments expiring in 12 months. We cannot recover a lost code.

6.2. Right to Erasure and Cease Dissemination: Initiating account deletion triggers an automated cascade that purges your Firebase identity, Firestore documents, and R2 photo storage. Under Law 25, you have the right to demand we cease disseminating your information and de-index links attached to your name.

6.3. Anonymization: Where data is "anonymized," we adhere strictly to Law 25: data is cryptographically altered such that the individual can never be identified again.

7. Incident Response

Should a confidentiality incident occur presenting a real risk of significant harm (PIPEDA) or serious injury (Law 25): for users outside Quebec, we notify the OPC. For Quebec residents, we will notify the CAI and affected users within seven (7) days of confirmation, adhering to Law 25.

8. Contact Our Privacy Officer

For data portability or erasure requests:

Email: privacy@connexsauna.link

Address: [Insert Corporate Mailing Address, Canada]