1. Introduction
Responsable du traitement :Jama'ati (ci-après « nous », « notre » ou « Jama'ati »). Pour toute question relative à la protection de vos données, contactez-nous à support@jamaati.com.
Périmètre :Cette politique s'applique à l'ensemble des services Jama'ati, y compris l'application web (jamaati.ca) et l'application mobile iOS et Android.
En utilisant nos services, vous reconnaissez avoir pris connaissance de la présente politique et consentez aux pratiques décrites.
2. Renseignements personnels collectés
a) Données de compte
- Prénom et nom de famille
- Adresse courriel
- Numéro de téléphone (optionnel)
- Photo de profil (optionnelle)
- Profession, ville et âge (optionnels ; chaque champ dispose d'un indicateur de visibilité que vous contrôlez)
- Mot de passe stocké sous forme hachée via Supabase Auth (jamais en clair)
b) Données de communauté
- Rôle dans la communauté (MEMBER, COMMITTEE_ADMIN, SUPER_ADMIN)
- Appartenance à un comité et rôle au sein du comité
- Date d'adhésion et statut d'activité
c) Données financières
- Montants et dates des cotisations versées ou enregistrées
- Méthode de paiement (saisie manuelle ou virement Interac)
- Notes associées aux paiements
- Dépenses de la communauté (titre, montant, catégorie, date, note)
d) Données Gmail — uniquement si l'administrateur connecte son compte
Lorsqu'un administrateur (SUPER_ADMIN) choisit de connecter son compte Gmail pour la détection automatique des paiements Interac, nous traitons et stockons :
- L'adresse Gmail de l'administrateur connecté
- Des jetons d'accès et de rafraîchissement OAuth (chiffrés au repos)
- Pour chaque courriel de notification Interac détecté :
- Nom de l'expéditeur du virement
- Adresse courriel de l'expéditeur du virement
- Montant du virement
- Message/mémo joint au virement
- Date et heure de réception
- Corps brut du courriel de notification (conservé temporairement à des fins de diagnostic technique)
- Identifiant unique du message Gmail
Important :Seuls les courriels correspondant aux modèles de notification Interac émis par les institutions financières canadiennes sont lus. Le reste de la boîte de réception de l'administrateur n'est pas accessible ni traité.
e) Données techniques
- Jeton de notification push Expo (pour l'envoi de notifications sur appareil mobile)
- Adresse IP et métadonnées de connexion (journaux d'infrastructure Supabase)
- Historique des notifications envoyées (titre, corps, statut de livraison)
Jama'ati ne collecte aucune donnée analytiquevia des services tiers (Vercel Analytics, PostHog, Google Analytics ou équivalents). Aucune donnée de comportement de navigation n'est transmise à des tiers à des fins d'analyse.
3. Finalités de la collecte
Nous collectons vos renseignements personnels aux fins suivantes :
- Création et gestion de compte — authentification, récupération de mot de passe, gestion du profil.
- Fonctionnement du service— publication d'annonces, organisation d'événements, gestion des cotisations et des dépenses, gestion des comités et des rôles.
- Détection automatique des paiements Interac — identification et association des virements Interac reçus aux cotisations correspondantes de la communauté.
- Envoi de notifications push — alertes liées aux annonces, événements ou nouveaux paiements détectés, envoyées aux membres concernés.
- Amélioration du service— diagnostic technique et correction d'erreurs à partir des journaux d'infrastructure.
4. Base légale et consentement
- Consentement à l'inscription — en créant un compte, vous consentez à la collecte des données nécessaires au fonctionnement du service.
- Consentement explicite pour Gmail— la connexion du compte Gmail est entièrement optionnelle et soumise à un consentement spécifique, distinct et révocable à tout moment depuis les paramètres de l'application ou depuis votre compte Google.
- Intérêt légitime — nous traitons certaines données techniques (journaux, jetons) dans le cadre de notre intérêt légitime à assurer la sécurité et la continuité du service.
- Exécution du contrat— le traitement des données de paiement et de cotisation est nécessaire à l'exécution des fonctionnalités demandées.
5. Partage des renseignements
Jama'ati ne vend pas vos renseignements personnels à des tiers.
Nous faisons appel aux sous-traitants techniques suivants, dans le seul but de fournir le service :
| Sous-traitant | Rôle | Données transmises |
|---|---|---|
| Supabase | Hébergement, base de données, authentification | Toutes les données du service |
| Resend | Envoi de courriels transactionnels | Adresse courriel, contenu du courriel envoyé |
| Google (API Gmail) | Lecture des courriels Interac (si consentement) | Jetons OAuth, données des courriels Interac uniquement |
| Expo / Apple / Google | Livraison des notifications push | Jeton push, titre et corps de la notification |
Partage interne à la communauté :Les administrateurs (SUPER_ADMIN, COMMITTEE_ADMIN) d'une communauté peuvent consulter les cotisations et informations financières des membres de leur propre communauté uniquement. Les données d'une communauté ne sont jamais accessibles aux membres d'une autre communauté.
6. Conservation des données
| Type de donnée | Durée de conservation |
|---|---|
| Données de compte (profil) | Jusqu'à suppression du compte |
| Cotisations et dépenses | Durée de vie de la communauté + 3 ans après fermeture |
| Données Interac dérivées (montant, expéditeur) | Durée de vie de la communauté + 3 ans |
Corps brut du courriel Interac (raw_email) | 90 jours à compter de la réception (fin de cycle de diagnostic) |
| Jetons Gmail OAuth | Supprimés immédiatement lors de la déconnexion Gmail |
| Jetons push Expo | Jusqu'à suppression du compte ou de l'application |
| Journaux de notifications | 12 mois glissants |
Lors de la suppression d'un compte, toutes les données personnelles identifiantes sont effacées dans un délai de 30 jours, sauf obligation légale de conservation.
7. Vos droits (Loi 25 du Québec)
En vertu de la Loi 25 et de la LPRPDE, vous disposez des droits suivants :
- Droit d'accès — obtenir une copie des renseignements personnels que nous détenons vous concernant.
- Droit de rectification — faire corriger des renseignements inexacts ou incomplets.
- Droit de retrait du consentement — retirer votre consentement au traitement de vos données (notamment pour la connexion Gmail), sans préjudicier au traitement antérieur.
- Droit à la portabilité — recevoir vos renseignements personnels dans un format technologique structuré et communément utilisé.
- Droit à la suppression— demander l'effacement de vos renseignements personnels, sous réserve des obligations légales de conservation.
Pour exercer l'un de ces droits, écrivez-nous à support@jamaati.com. Nous accusons réception de votre demande sous 5 jours ouvrables et y répondons dans un délai de 30 jours.
Vous avez également le droit de déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI)si vous estimez que vos droits n'ont pas été respectés : www.cai.gouv.qc.ca.
8. Sécurité des données
- Chiffrement en transit — toutes les communications entre votre appareil et nos serveurs sont chiffrées via HTTPS/TLS.
- Chiffrement au repos— les données sont hébergées sur l'infrastructure Supabase (PostgreSQL), qui applique le chiffrement au niveau du disque.
- Isolation par communauté (Row Level Security)— des politiques RLS PostgreSQL garantissent qu'aucune donnée d'une communauté n'est accessible depuis un autre espace.
- Authentification sécurisée — gestion des sessions via Supabase Auth, avec jetons à durée limitée et jetons de rafraîchissement côté serveur.
- Jetons OAuth Gmail — stockés dans la base de données, chiffrés au repos, jamais exposés côté client.
Aucun système ne peut garantir une sécurité à 100 %. En cas de violation de données susceptible de vous causer un préjudice sérieux, nous vous notifierons conformément aux exigences de la Loi 25.
9. Connexion Gmail et détection des paiements Interac
Conformité Google API Services User Data Policy
L'utilisation par Jama'ati des informations reçues via les API Google est conforme à la Google API Services User Data Policy, y compris les exigences d'utilisation limitée (Limited Use requirements).
Données Gmail accessibles
Jama'ati demande la permission gmail.readonly uniquement. Cette permission permet la lecture en lecture seule de la boîte Gmail de l'administrateur qui a donné son consentement. Nous ne lisons que les courriels correspondant aux modèles de notification Interacémis par les institutions financières canadiennes (TD, RBC, Scotiabank, BMO, Desjardins, CIBC, Banque Nationale, Tangerine, Simplii, Interac). Aucun autre courriel de la boîte de réception n'est consulté ou traité.
Finalité strictement limitée
Les données extraites des courriels Gmail sont utilisées uniquement pour détecter et associer automatiquement les virements Interac reçus aux canaux de cotisation de la communauté. Ces données :
- Ne sont jamais utilisées à des fins publicitaires ;
- Ne sont jamais vendues ni partagées avec des tiers ;
- Ne sont jamais utilisées à des fins étrangères à la détection de paiements au sein de la communauté concernée ;
- Ne permettent aucune lecture manuelledu contenu général de la boîte de réception de l'administrateur — seuls les courriels de notification Interac sont analysés de façon automatisée.
Compte concerné
Seule la boîte Gmail du compte administrateur (SUPER_ADMIN) qui a explicitement accordé son autorisation est accessible. Aucun autre compte Gmail (membres, autres administrateurs) ne peut être connecté sans consentement explicite.
Révocation de l'accès
Vous pouvez révoquer l'accès Gmail à tout moment de deux façons :
- Dans les paramètres de l'applicationJama'ati : section Paramètres Gmail → Déconnecter.
- Directement depuis votre compte Google : Sécurité → Applications tierces avec accès à votre compte → Révoquer l'accès Jama'ati.
À la révocation, les jetons OAuth sont supprimés immédiatement de nos serveurs. Les données de paiement Interac déjà enregistrées (montants, noms, associations) sont conservées conformément au tableau de la section 6 ; le corps brut des courriels (raw_email) est supprimé dans les 90 jours suivant la réception.
10. Mineurs
Jama'ati est destiné à des utilisateurs âgés de 16 ans et plus. Nous ne collectons pas sciemment de renseignements personnels auprès de personnes de moins de 16 ans sans le consentement d'un parent ou tuteur légal.
Dans le contexte communautaire (dahiras, mosquées), les membres mineurs entre 13 et 15 ans peuvent utiliser le service sous la supervision d'un parent ou tuteur légal qui accepte les présentes conditions en leur nom. Si vous êtes un parent et constatez que votre enfant mineur a créé un compte sans supervision, veuillez nous contacter à support@jamaati.com pour procéder à la suppression du compte.
12. Modifications de la politique
Nous nous réservons le droit de modifier la présente politique à tout moment. En cas de modification substantielle, nous vous informerons par courriel et/ou par une notification dans l'application au moins 30 jours avant l'entrée en vigueur des nouvelles dispositions. La date de mise à jour figurant en haut de ce document sera actualisée à chaque révision.
Votre utilisation continue du service après notification d'une modification vaut acceptation des nouvelles conditions.
13. Contact
Pour toute question, demande d'exercice de vos droits ou signalement d'un incident de confidentialité :
Jama'ati — Responsable de la protection des renseignements personnels
Courriel : support@jamaati.com
Ce document est fourni à titre informatif et ne constitue pas un avis juridique. Pour toute question spécifique, veuillez consulter un professionnel du droit.