Politique de confidentialité

1. Qui sommes-nous

Kestrelia est une plateforme SaaS d'alertes vols ultra-personnalisées, exploitée par NOKARIS Lab, studio indépendant basé à Gatineau, Québec, Canada.

Contact : hello@kestrelia.com

2. Données collectées (Phase 0 waitlist)

• Adresse email — pour t'envoyer la confirmation et les alertes Phase 0
• Locale (FR-CA / EN-CA) — pour adapter la langue des emails
• Adresse IP — anti-abus rate-limiting (5 inscriptions / IP / heure)
• User Agent + Referrer — analyse de l'origine du trafic
• Paramètres UTM — sources marketing (Reddit, Hacker News, etc.)
• Réponses au sondage (post-confirmation, optionnel) — aéroport d'origine, destinations, budget, fréquence, solution actuelle

3. Hébergement (Loi 25 + LPRPDE)

Toutes les données sont hébergées au Canada (AWS ca-central-1). Aucune donnée personnelle ne quitte le Canada. Les emails transactionnels sont envoyés via AWS SES (région ca-central-1).

4. Tes droits

Conformément à la Loi 25 (Québec), à la LPRPDE (loi fédérale canadienne sur la protection des renseignements personnels et les documents électroniques) et au RGPD européen, tu peux à tout moment :

• Accéder à tes données — écris à hello@kestrelia.com avec ton email
• Rectifier tes données — réponds à n'importe quel email Kestrelia
• Supprimer tes données (droit à l'oubli) — endpoint DELETE /waitlist/entry?email=&token= (instructions envoyées sur demande)
• Portabilité — export JSON sur demande à hello@kestrelia.com
• Désinscription — 1 clic dans n'importe quel email envoyé

Délai de réponse : 30 jours maximum (Loi 25, article 35 / LPRPDE, principe 4.9 de l'Annexe 1).

5. Cookies et analytics

Aucun cookie de tracking publicitaire n'est utilisé. Pour mesurer l'audience, on utilise Umami, un outil d'analytics auto-hébergé sur la même infrastructure canadienne — RGPD-compliant par défaut, sans cookies persistants. Tu peux refuser les analytics via le bandeau cookie en bas de page.

6. Sécurité

• HTTPS obligatoire (TLS 1.3 via CloudFront)
• Tokens de confirmation aléatoires 256 bits (one-shot rotation après usage)
• Rate-limiting par IP (5 inscriptions / heure / IP)
• Anti-bot Cloudflare Turnstile sur les soumissions
• Anti-énumération : réponse 202 constant-time pour ne jamais révéler si un email est inscrit
• Backups DB chiffrés AWS RDS (rétention 7 jours)
• Secrets gérés par AWS Secrets Manager (rotation automatique)

7. Sous-traitants (Loi 25 article 18 / LPRPDE principe 4.1.3)

Kestrelia partage des données avec les sous-traitants suivants, tous avec un accord de traitement conforme :

• Amazon Web Services (AWS) — hébergement infrastructure ca-central-1
• Cloudflare — anti-bot Turnstile (vérification token uniquement)
• Sentry — error tracking (DSN avec PII scrubbing activé)

8. Modifications

Cette politique peut évoluer avec le produit. Les changements substantiels seront notifiés par email aux inscrits. La date de dernière mise à jour est affichée en haut de page.

9. Plainte — autorités compétentes

En cas de désaccord sur la gestion de tes données, tu peux contacter :

Commission d'accès à l'information du Québec (CAI) — pour la Loi 25
575 rue Saint-Amable, Bureau 1.10, Québec (QC) G1R 2G4
Site : cai.gouv.qc.ca

Commissariat à la protection de la vie privée du Canada (CPVP) — pour la LPRPDE
30, rue Victoria, Gatineau (QC) K1A 1H3
Site : priv.gc.ca