MapleDeploy prend la securite des donnees au serieux. Ce document decrit comment nous traitons les atteintes a la protection des donnees suspectees ou confirmees, conformement aux exigences de notification de la LPRPDE et de la Loi 25 du Quebec.
Ce qui constitue une atteinte
Une atteinte est tout acces non autorise a des renseignements personnels sous le controle de MapleDeploy, ou toute communication non autorisee de tels renseignements. Cela comprend :
- L'acces non autorise aux donnees du compte client (courriel, nom, renseignements de facturation)
- L'acces non autorise a la base de donnees interne de MapleDeploy
- La compromission d'une machine virtuelle d'un client par une vulnerabilite dans l'infrastructure de MapleDeploy (et non dans les applications du client)
- La perte ou le vol de copies de sauvegarde non chiffrees contenant des renseignements personnels
Une atteinte ne comprend pas l'acces non autorise aux applications ou bases de donnees du client cause par la configuration ou le code du client. Les clients sont responsables de la securite de ce qu'ils deploient sur leurs serveurs.
Comment nous intervenons
Detection et confinement
Lorsque nous detectons ou sommes avises d'une atteinte potentielle :
- Nous revoquons tous les identifiants potentiellement compromis
- Nous isolons les systemes touches afin de prevenir tout acces supplementaire
- Nous preservons les journaux et les preuves (rien n'est modifie ni supprime)
- Nous commencons a documenter la chronologie des evenements
Nous visons a commencer le confinement dans les 24 heures suivant la detection.
Enquete
Nous determinons :
- Quelles donnees ont ete consultees ou exposees
- Combien de clients sont touches
- Le vecteur d'attaque (comment c'est arrive)
- Si les donnees ont ete effectivement exfiltrees ou seulement exposees
Evaluation
En vertu de la LPRPDE (art. 10.1), nous sommes tenus d'evaluer si l'atteinte cree un « risque reel de prejudice grave » (RRPG) pour les personnes touchees. Le prejudice grave comprend le vol d'identite, la perte financiere, l'atteinte a la reputation ou l'humiliation.
En vertu de la Loi 25 du Quebec, nous evaluons separement si l'incident presente un « risque de prejudice serieux », qui est la norme independante du Quebec.
Facteurs que nous considerons dans les deux cadres : la sensibilite des renseignements, la probabilite qu'ils soient utilises a mauvais escient et si l'atteinte a ete confinee.
Notification
Si l'atteinte pose un risque reel de prejudice grave :
Nous avisons :
Les personnes touchees des que possible apres la confirmation de l'atteinte. La notification comprend :
- Une description de ce qui s'est passe
- La date ou la periode de l'atteinte
- Les renseignements personnels en cause
- Les mesures que nous avons prises pour reduire le risque de prejudice
- Les mesures que vous pouvez prendre pour vous proteger (p. ex., changer vos mots de passe, surveiller vos comptes)
- Comment communiquer avec nous pour vos questions
Le Commissariat a la protection de la vie privee du Canada (CPVP) au moyen de leur formulaire de declaration d'atteinte.
La Commission d'acces a l'information du Quebec (CAI) si des residents du Quebec sont touches, tel que requis par la Loi 25 du Quebec, en utilisant le formulaire de declaration prescrit par la CAI.
Tout autre organisme ou institution gouvernementale qui peut etre en mesure de reduire le risque de prejudice decoulant de l'atteinte, tel que requis par la LPRPDE (art. 10.1(3)). Par exemple, si des identifiants compromis pourraient etre utilises pour acceder a des services tiers, nous avisons ces tiers.
Methode de notification : Nous envoyons un courriel directement aux clients touches a leur adresse courriel enregistree. Pour les atteintes touchant tous les clients, nous publions egalement un avis sur notre site Web.
Si l'atteinte n'atteint pas le seuil de notification :
Nous documentons neanmoins l'atteinte dans notre registre interne (voir la tenue de registres ci-dessous) et pouvons choisir d'aviser volontairement les clients touches a titre de bonne pratique.
Tenue de registres
Nous conservons des registres de toutes les atteintes (qu'elles aient atteint ou non le seuil de notification) pendant au moins 24 mois tel que requis par la LPRPDE (art. 10.3), et pendant au moins 5 ans pour les incidents pouvant impliquer des residents du Quebec tel que requis par la Loi 25.
Chaque registre d'atteinte comprend :
- Une description des circonstances de l'atteinte
- La date ou la date estimee
- La nature des renseignements personnels en cause
- Une evaluation indiquant si l'atteinte cree un risque reel de prejudice grave (et le fondement de cette evaluation)
- Si une notification a ete donnee aux personnes, au CPVP et/ou a la CAI (et sinon, les motifs)
Ces registres sont mis a la disposition du CPVP sur demande.
Ce que nous protegeons
MapleDeploy detient les renseignements personnels et de compte suivants :
| Donnees | Comment elles sont protegees |
|---|---|
| Adresse courriel | Stockee dans une base de donnees chiffree sur une infrastructure canadienne |
| Nom et nom de l'organisation | Stockes dans une base de donnees chiffree sur une infrastructure canadienne |
| Mot de passe | Hache avec bcrypt (jamais stocke en texte clair) |
| Details de facturation | Traites par Stripe (conforme PCI niveau 1), non stockes par MapleDeploy |
| Details du serveur (adresses IP, noms d'hote, URL) | Stockes dans une base de donnees chiffree sur une infrastructure canadienne |
| Journaux de provisionnement et d'exploitation | Stockes dans une base de donnees chiffree sur une infrastructure canadienne |
Les donnees des applications des clients (bases de donnees, fichiers, configurations) resident sur des machines virtuelles dediees isolees du plan de controle de MapleDeploy et des autres clients.
Vos responsabilites
Si vous croyez que votre compte ou serveur MapleDeploy a ete compromis :
- Envoyez un courriel a hello@mapledeploy.ca immediatement
- Changez votre mot de passe MapleDeploy
- Verifiez vos identifiants d'administrateur Coolify et vos jetons d'API
Si l'atteinte provient de votre propre code ou configuration d'application, nous vous aiderons dans la mesure du possible, mais la responsabilite de l'intervention et des obligations de notification envers les donnees de vos utilisateurs finaux vous incombe. En tant que fournisseur d'infrastructure, nous vous aviserons rapidement de toute atteinte que nous detectons affectant votre machine virtuelle afin que vous puissiez remplir vos propres obligations en vertu de la LPRPDE et de la Loi 25.
Forces de l'ordre
Dans les cas impliquant des activites criminelles (acces non autorise, ranconciel, vol de donnees), nous pouvons coordonner avec les forces de l'ordre canadiennes selon les circonstances et tel que requis par la loi.
Contact
Pour les preoccupations de securite ou pour signaler une atteinte potentielle : hello@mapledeploy.ca
Derniere mise a jour le 21 mars 2026