Document bilingue / Bilingual document. La version anglaise suit la version française. / The English version follows the French version.

POLITIQUE DE CONFIDENTIALITÉ DE SCIENCEREACH

Dernière mise à jour : 2 juin 2026

1. Introduction

ScienceReach Consulting Inc. (faisant aussi affaire sous le nom de Conseil Science Reach Inc.) est une plateforme bilingue de communication scientifique et de mobilisation des connaissances établie au Québec, Canada. La présente Politique de confidentialité explique comment nous recueillons, utilisons, communiquons et protégeons vos renseignements personnels lorsque vous utilisez notre site Web (www.sciencereach.ca) et les services connexes.

Nous nous engageons à protéger votre vie privée et à vous offrir une expérience positive sur notre plateforme. La présente politique s'applique à tous les renseignements personnels que nous recueillons auprès des utilisateurs, des titulaires de compte, des représentants d'organisations, des participants aux cours et des autres visiteurs de notre plateforme. Nous nous conformons aux lois canadiennes et québécoises applicables en matière de protection des renseignements personnels et de lutte contre les pourriels.

En accédant à ScienceReach et en l'utilisant, vous reconnaissez avoir lu et compris la présente Politique de confidentialité. Si vous n'êtes pas d'accord avec nos pratiques de confidentialité, vous ne devriez pas utiliser notre plateforme.

2. Responsable de la protection des renseignements personnels

Notre responsable de la protection des renseignements personnels veille au respect de la présente Politique de confidentialité et de l'ensemble de la législation applicable en matière de protection des renseignements personnels.

Responsable de la protection des renseignements personnels :

• Nom : Hamid Golhasany
• Courriel : info@sciencereach.ca
• Organisation : ScienceReach Consulting Inc. / Conseil Science Reach Inc.
• Site Web : www.sciencereach.ca

Pour toute question, préoccupation ou demande concernant vos renseignements personnels, veuillez communiquer avec notre responsable de la protection des renseignements personnels à l'adresse courriel indiquée ci-dessus.

3. Renseignements que nous recueillons

3.1 Renseignements liés à la création de compte

Lorsque vous créez un compte sur ScienceReach, nous recueillons les renseignements suivants :

• Adresse courriel (obligatoire) — utilisée comme identifiant unique pour la connexion et la récupération du compte
• Mot de passe (obligatoire) — stocké de façon sécurisée au moyen d'un hachage à sens unique conforme aux normes de l'industrie; jamais stocké en clair
• Prénom (obligatoire)
• Second prénom (facultatif)
• Nom de famille (obligatoire)
• Fonction (facultatif) — votre titre ou rôle professionnel
• Organisation (facultatif) — votre établissement ou employeur d'affiliation
• Renseignements de localisation (tous facultatifs) :
  • Pays
  • Province ou État
  • Ville
  • Code postal
  • Adresse complète

3.2 Renseignements de profil

Vous pouvez, à votre choix, fournir des renseignements de profil supplémentaires pour permettre aux autres utilisateurs de mieux vous connaître :

• Biographie ou résumé professionnel
• Mots-clés de recherche ou domaines d'expertise
• Avatar ou photo de profil (hébergé sur Cloudinary)
• Site Web personnel ou professionnel
• Numéro de téléphone
• Identifiant ORCID
• URL de profil LinkedIn
• Affiliations professionnelles et appartenances institutionnelles

3.3 Contenu généré par l'utilisateur

Nous recueillons et conservons le contenu que vous créez et soumettez sur la plateforme :

• Plans de communication scientifique
• Publications de connaissances communautaires et articles
• Notes de rétroaction et commentaires
• Messages transmis par le formulaire de contact
• Demandes de service et requêtes
• Propositions d'évaluation et rétroaction par les pairs
• Images téléversées dans la galerie de récits
• Tout autre contenu que vous choisissez de publier ou de partager sur la plateforme

3.4 Renseignements liés à l'inscription à un cours ou à un programme

Lorsque vous vous inscrivez à un cours, à un atelier ou à un programme de formation offert par ScienceReach, nous recueillons :

• Domaine d'études ou discipline
• Année d'études ou niveau de formation
• Ville de résidence
• Nom de l'établissement d'enseignement
• Département ou faculté d'affiliation
• Nom du superviseur ou de l'enseignant (le cas échéant)
• Nom et code du cours
• Comment vous avez entendu parler du programme ou du cours
• Consentement à être contacté au sujet du programme

3.5 Données relatives aux organisations

Lorsqu'une organisation crée ou maintient un profil sur ScienceReach, nous recueillons :

• Nom de l'organisation
• Catégorie ou type d'organisation
• Nom et adresse courriel de la personne-ressource principale
• Numéro de téléphone
• URL du site Web
• Emplacement physique (pays, province ou État, ville, adresse)
• Description et énoncé de mission de l'organisation
• Services offerts
• Logo ou imagerie de l'organisation (hébergés sur Cloudinary)

3.6 Renseignements recueillis automatiquement

Nous recueillons automatiquement certains renseignements lorsque vous utilisez notre plateforme :

• Adresse IP — consignée dans les événements d'audit et les journaux de sécurité
• Agent utilisateur — renseignements sur le navigateur et le système d'exploitation
• Pages consultées et navigation — suivies au moyen de Google Analytics
• Mesures d'accès aux publications — nombre de lectures et moment des lectures
• Activité de connexion — horodatage des connexions et date de dernière connexion
• Habitudes d'utilisation — interactions avec les fonctionnalités de la plateforme

3.7 Renseignements que nous NE recueillons PAS

Afin de protéger votre vie privée, nous ne recueillons ni ne conservons expressément PAS les éléments suivants :

• Renseignements de santé ou données médicales
• Données biométriques (empreintes digitales, reconnaissance faciale, etc.)
• Numéro d'assurance sociale ou numéro de sécurité sociale
• Numéros de pièces d'identité délivrées par le gouvernement (permis de conduire, passeport, etc.)
• Numéros complets de carte de paiement ou de compte bancaire — lorsque vous payez pour un service payant, le paiement est traité par notre processeur de paiement (Stripe), qui recueille et conserve les renseignements de carte sur ses propres systèmes sécurisés et conformes à la norme PCI; ScienceReach ne reçoit ni ne conserve votre numéro de carte complet (voir la section 3.8)

3.8 Renseignements de paiement

Lorsque vous payez pour un service payant — comme l'inscription à un programme ou à un cours, ou un service de publication de CKP — le paiement est traité par notre processeur de paiement tiers, Stripe. Stripe recueille et traite vos renseignements de paiement (y compris les renseignements de carte) sur ses propres systèmes sécurisés et conformes à la norme PCI. ScienceReach ne reçoit que des renseignements limités de facturation et de transaction — comme votre nom, votre adresse courriel, vos coordonnées de facturation, le montant et une référence de transaction — et ne reçoit ni ne conserve votre numéro de carte complet.

4. Utilisation de vos renseignements

Nous utilisons les renseignements personnels que nous recueillons aux fins suivantes :

4.1 Gestion du compte et authentification

• Créer et maintenir votre compte d'utilisateur
• Vérifier votre identité et authentifier vos sessions de connexion
• Récupérer votre compte si vous oubliez votre mot de passe

4.2 Prestation des services de la plateforme

• Vous permettre d'accéder aux fonctionnalités et outils de ScienceReach
• Héberger vos renseignements de profil et les présenter aux autres utilisateurs
• Afficher le contenu que vous avez soumis sur la plateforme
• Faciliter la collaboration et la communication entre utilisateurs

4.3 Publication et attribution

• Publier le contenu que vous générez (plans de communication scientifique, articles, images, etc.)
• Vous attribuer le contenu et tenir des registres d'auteurs
• Gérer les relations de coautorat et les mentions de contributeurs

4.4 Traitement des demandes de service et des transactions

• Traiter les inscriptions aux cours et aux programmes de formation
• Traiter les demandes de service, les requêtes et les billets de soutien
• Traiter les paiements des services payants au moyen de notre processeur de paiement (Stripe) et gérer la facturation et les confirmations connexes
• Fournir des renseignements de confirmation et de reçu

4.5 Communications transactionnelles

• Envoyer des liens de vérification du courriel lors de la création d'un compte
• Envoyer des courriels de réinitialisation du mot de passe sur demande
• Envoyer des avis relatifs au compte et des mises à jour de la plateforme
• Aviser les représentants d'organisations des activités pertinentes
• Envoyer des confirmations de cours et des communications liées aux programmes

4.6 Sécurité de la plateforme

• Protéger la plateforme contre les accès non autorisés et la fraude
• Mettre en œuvre une limitation du nombre de tentatives d'authentification et d'inscription
• Prévenir les abus, les pourriels et les activités malveillantes
• Tenir des journaux d'audit aux fins d'enquêtes de sécurité
• Détecter les menaces de sécurité et y répondre

4.7 Analytique et amélioration de la plateforme

• Analyser les habitudes d'utilisation agrégées pour améliorer la plateforme
• Comprendre quelles fonctionnalités sont les plus utiles aux utilisateurs
• Repérer et corriger les problèmes techniques
• Mener des recherches pour optimiser l'expérience utilisateur
• Surveiller la performance et la fiabilité de la plateforme

4.8 Conformité légale

• Respecter nos obligations légales en vertu des lois applicables en matière de protection des renseignements personnels et de lutte contre les pourriels
• Répondre aux demandes licites des autorités gouvernementales
• Protéger nos droits et nous défendre contre des réclamations
• Conserver des dossiers conformément à la loi (p. ex., dossiers fiscaux)

5. Fondements juridiques du traitement

Nous traitons vos renseignements personnels sur les fondements juridiques suivants :

5.1 Consentement

• Création de compte : Vous donnez un consentement explicite en créant un compte
• Renseignements de profil : Vous consentez en remplissant volontairement votre profil
• Soumission de contenu : Vous consentez en publiant du contenu sur la plateforme
• Témoins non essentiels : Vous donnez un consentement affirmatif avant que nous déposions des témoins de connexion autres que ceux essentiels au fonctionnement de la plateforme
• Analytique : Vous donnez un consentement affirmatif avant l'activation du suivi par Google Analytics

5.2 Exécution du contrat

• Nous traitons vos renseignements dans la mesure nécessaire pour fournir la plateforme et les services ScienceReach que vous avez demandés
• Ce traitement est essentiel à la gestion du compte, à la prestation des services et aux fonctionnalités de publication

5.3 Obligation légale

• Nous traitons vos renseignements pour nous conformer aux lois applicables en matière de protection des renseignements personnels, de lutte contre les pourriels et aux autres lois
• Nous conservons certains dossiers (journaux d'audit, documentation fiscale, etc.) conformément à la loi

5.4 Intérêt légitime

• Sécurité de la plateforme : Nous avons un intérêt légitime à prévenir la fraude, les abus et les accès non autorisés
• Amélioration de la plateforme : Nous avons un intérêt légitime à analyser les habitudes d'utilisation pour améliorer nos services
• Protection juridique : Nous avons un intérêt légitime à protéger nos droits et à nous défendre contre des réclamations

6. Témoins de connexion et technologies de suivi

6.1 Témoins essentiels (aucun consentement requis)

Les témoins de connexion (« cookies ») suivants sont essentiels au fonctionnement de la plateforme ScienceReach et sont déposés sans nécessiter votre consentement :

Ces témoins sont strictement nécessaires pour vous permettre de vous connecter, de maintenir votre session et d'accéder aux fonctionnalités protégées de la plateforme. Ils ne sont transmis que sur des connexions HTTPS sécurisées et ne sont pas accessibles au code JavaScript côté client, ce qui les protège contre les attaques par script intersites.

6.2 Stockage fonctionnel (consentement requis pour les usages non essentiels)

Nous stockons certaines préférences et données techniques dans le stockage local (localStorage) et le stockage de session (sessionStorage) de votre navigateur. Il ne s'agit pas de témoins, mais ils remplissent des fonctions semblables. Pour les préférences non essentielles, un consentement est requis en vertu de la loi applicable en matière de protection des renseignements personnels.

Ces renseignements stockés comprennent vos préférences de langue et d'accessibilité, vos préférences d'affichage et de citation, le décompte local des publications auxquelles vous avez accédé, les brouillons enregistrés automatiquement du contenu que vous rédigez, ainsi que les données techniques nécessaires aux fonctions de session et de navigation (comme la coordination de la déconnexion entre onglets). Les préférences persistantes demeurent jusqu'à ce que vous les effaciez; les données de session sont effacées à la fin de votre session de navigation.

6.3 Analytique (consentement requis, désactivée par défaut)

Nous utilisons Google Analytics (GA4) pour comprendre comment les utilisateurs interagissent avec notre plateforme. L'analytique est désactivée par défaut et n'est activée qu'après l'obtention de votre consentement explicite.

• Service : Google Analytics 4 (GA4)
• Finalité : Suivi des pages consultées, des interactions des utilisateurs et des habitudes d'utilisation
• Données recueillies : URL visitées, renseignements sur l'appareil (déduits), renseignements de localisation (déduits), renseignements sur l'agent utilisateur
• Fournisseur : Google LLC (États-Unis)

6.4 Gestion du consentement aux témoins

• Les témoins non essentiels et l'analytique sont désactivés par défaut jusqu'à ce que vous donniez expressément votre consentement au moyen de notre interface de gestion du consentement
• Vous pouvez retirer votre consentement en tout temps en modifiant vos préférences dans les paramètres de votre compte ou en effaçant les témoins de votre navigateur
• Le retrait du consentement n'a pas d'incidence sur la licéité du traitement effectué pendant que le consentement était actif
• Nous respectons vos choix : Si vous ne donnez pas votre consentement, vous pouvez tout de même utiliser toutes les fonctionnalités essentielles de la plateforme ScienceReach

Toutes les pratiques relatives aux témoins respectent les exigences de la loi applicable en matière de protection des renseignements personnels quant à l'obtention d'un consentement éclairé et explicite avant le dépôt de technologies de suivi non essentielles.

7. Protection des renseignements personnels des enfants

7.1 Exigences d'âge et consentement parental

ScienceReach ne s'adresse pas aux enfants de moins de 14 ans. L'âge minimal pour créer un compte et utiliser la plateforme est de 14 ans.

7.2 De 14 à 17 ans

• Consentement personnel : En vertu de la loi applicable du Québec en matière de protection des renseignements personnels, les jeunes de 14 à 17 ans peuvent consentir à la collecte de leurs renseignements personnels sans permission parentale
• Création de compte : Toutefois, conformément à notre Entente d'utilisation, une permission parentale est requise pour la création d'un compte par un mineur de 14 à 17 ans
• Accès parental : Les parents de titulaires de compte mineurs peuvent demander des renseignements sur l'utilisation de la plateforme par leur enfant

7.3 Enfants de moins de 14 ans

• Consentement parental requis : Nous exigeons le consentement explicite d'un parent ou d'un tuteur avant de recueillir des renseignements personnels auprès d'enfants de moins de 14 ans
• Aucune collecte sciemment sans consentement : Nous ne recueillons pas sciemment de renseignements personnels auprès d'enfants de moins de 14 ans sans le consentement vérifié d'un parent ou d'un tuteur
• Responsabilité de l'utilisateur : ScienceReach n'utilise pas actuellement de vérification automatisée de l'âge lors de l'inscription. Il incombe à l'utilisateur (ou à son parent ou tuteur, selon le cas) de confirmer qu'il satisfait à l'âge minimal requis avant de créer un compte. ScienceReach se réserve le droit de mettre en place des mesures de vérification de l'âge à l'avenir.

7.4 Collecte accidentelle

• Si nous apprenons que nous avons recueilli des renseignements personnels auprès d'un enfant de moins de 14 ans sans consentement parental documenté, nous supprimerons ces renseignements sans délai
• Signalement : Les parents ou tuteurs qui croient que nous avons recueilli des renseignements auprès d'un enfant de moins de 14 ans sans consentement devraient communiquer immédiatement avec notre responsable de la protection des renseignements personnels à info@sciencereach.ca

8. Services tiers et sous-traitants

ScienceReach a recours aux services tiers suivants pour offrir certaines fonctionnalités. Ces services agissent à titre de sous-traitants et peuvent avoir accès à des renseignements personnels limités.

8.1 Tableau des sous-traitants

Le cas échéant, ces fournisseurs traitent les renseignements personnels conformément à leurs ententes ou addendas de traitement des données standard, qui comportent des obligations de protection des renseignements personnels.

8.2 Renseignements détaillés sur les sous-traitants

Google Analytics (GA4)

• Effectue le suivi des pages consultées, des interactions des utilisateurs et des habitudes d'utilisation sur la plateforme ScienceReach
• Recueille les URL visitées, les renseignements sur le type d'appareil (déduits) et les données d'agent utilisateur
• Établi aux États-Unis
• Régi par la politique de confidentialité et l'avenant relatif au traitement des données de Google

Stripe

• Traite les paiements des services payants (inscription au programme ou aux cours et services de publication de CKP)
• Recueille et conserve les renseignements de carte de paiement sur ses propres systèmes sécurisés et conformes à la norme PCI
• ScienceReach ne reçoit que des renseignements limités de facturation et de transaction, jamais les numéros de carte complets
• Établi aux États-Unis
• Régi par l'entente de traitement des données de Stripe

Cloudinary

• Stocke et diffuse les images que vous téléversez, y compris les avatars de profil et les images de la galerie de récits
• Exploite un réseau de diffusion de contenu pour un service d'images rapide et mondial
• Établi aux États-Unis
• Offre un traitement conforme aux exigences de protection des données en vertu de son addenda de traitement des données

Amazon SES (AWS)

• Envoie des courriels transactionnels en notre nom (liens de vérification, réinitialisations de mot de passe, avis)
• Reçoit votre adresse courriel et le contenu des courriels uniquement lorsque nous envoyons des courriels
• La région des données est configurable
• Régi par l'addenda de traitement des données d'AWS

Google Fonts

• Diffuse les polices utilisées sur le site Web de ScienceReach
• Lorsque votre navigateur charge des polices à partir de Google, votre adresse IP et votre agent utilisateur sont transmis
• Établi aux États-Unis
• Exposition limitée des données; les polices sont diffusées en HTTPS

DigitalOcean

• Fournit l'infrastructure d'hébergement de conteneurs pour le déploiement de l'application ScienceReach
• Aucun renseignement personnel d'utilisateur final n'est directement traité par DigitalOcean; il héberge uniquement l'application
• La région des données est configurable selon nos paramètres de déploiement
• Régi par l'avenant relatif au traitement des données de DigitalOcean

UptimeRobot

• Surveille la disponibilité et le temps de fonctionnement de la plateforme ScienceReach
• Vérifie périodiquement le point de terminaison /health pour s'assurer que la plateforme fonctionne
• Recueille des données minimales (codes d'état HTTP, temps de réponse, aucun renseignement personnel)
• Établi aux États-Unis

i.pravatar.cc

• Fournit des images d'avatar par défaut aux utilisateurs qui n'ont pas téléversé de photo de profil
• Lorsque votre navigateur charge des images à partir de ce service, votre adresse IP et votre agent utilisateur sont transmis
• Il s'agit d'un service externe qui ne conserve aucun renseignement personnel
• Exposition limitée des données; les avatars sont diffusés en HTTPS

8.3 Limites au partage des données

Nous ne communiquons des renseignements personnels qu'aux sous-traitants énumérés ci-dessus, et uniquement dans la mesure nécessaire à la prestation de nos services. Nous ne vendons pas vos renseignements personnels et ne les partageons pas avec des réseaux publicitaires ou des courtiers en données.

9. Transferts de renseignements hors Québec

9.1 Transferts internationaux de données

ScienceReach est établie au Québec, Canada, mais certains de vos renseignements personnels peuvent être transférés hors du Québec par l'intermédiaire de nos sous-traitants, en particulier ceux établis aux États-Unis (Google Analytics, Cloudinary, AWS, Google Fonts, UptimeRobot, i.pravatar.cc).

9.2 Évaluations des facteurs relatifs à la vie privée

Avant de transférer des renseignements personnels hors du Québec, nous :

• Réalisons des évaluations des facteurs relatifs à la vie privée pour évaluer les risques du transfert international
• Évaluons les lois sur la protection des renseignements personnels et les mécanismes d'application dans le territoire de destination
• Documentons notre évaluation et les motifs du transfert
• Veillons à la mise en place de mesures de protection appropriées

9.3 Protections contractuelles

• Tous les sous-traitants sont liés par des ententes ou des addendas de traitement des données qui comprennent :
  • Des obligations de protéger vos renseignements personnels au moyen de mesures de sécurité appropriées
  • Des restrictions quant à l'utilisation qu'ils peuvent faire de vos renseignements
  • Des engagements à respecter les exigences de la loi applicable en matière de protection des renseignements personnels
  • Des droits de vérification et d'inspection de leurs pratiques de traitement des données
  • Des obligations de nous aviser des incidents de confidentialité

9.4 Vos droits à l'égard des transferts internationaux

• Vous avez le droit de demander des renseignements sur les transferts internationaux de vos renseignements personnels
• Vous avez le droit de retirer votre consentement au traitement par des sous-traitants situés hors du Québec
• Vous pouvez communiquer avec notre responsable de la protection des renseignements personnels pour discuter de vos préoccupations concernant les transferts hors Québec

10. Conservation et suppression des données

10.1 Données d'un compte actif

• Les renseignements personnels associés à un compte actif sont conservés tant que votre compte demeure actif
• Vous pouvez demander la suppression de votre compte et de vos renseignements personnels en tout temps

10.2 Processus de suppression du compte

• Suppression réversible (30 jours) : Lorsque vous demandez la suppression de votre compte, celui-ci est placé en état de suppression réversible pendant 30 jours. Durant cette période, vous pouvez réactiver votre compte si vous changez d'avis
• Suppression définitive (30 à 90 jours) : À l'expiration de la période de suppression réversible, ScienceReach procède à la suppression définitive de votre compte et des renseignements personnels associés. La suppression définitive est effectuée manuellement et peut prendre jusqu'à 90 jours. Vous pouvez communiquer avec le responsable de la protection des renseignements personnels pour demander une suppression accélérée.
• Irréversible : La suppression définitive est permanente et ne peut être annulée

10.3 Publications en coautorat

• Si vous avez rédigé ou coécrit une publication (CKP), celle-ci demeure publiée après la suppression de votre compte
• Conformément aux pratiques courantes de l'édition savante, votre mention d'auteur (votre nom dans la signature et la citation) est maintenue sur l'œuvre publiée dans le cadre du dossier savant permanent, même après la suppression de votre compte. Cela est permis par la loi applicable en matière de protection des renseignements personnels, qui autorise la conservation à des fins scientifiques, d'archivage et d'intérêt public
• Les renseignements personnels liés à votre compte — adresse courriel, coordonnées, page de profil et liens de profil — sont supprimés ou anonymisés et ne sont plus associés à la publication
• Le retrait ou la modification de votre nom sur une œuvre déjà publiée est traité séparément en vertu de l'Entente de publication de CKP et peut ne pas toujours être possible une fois l'œuvre diffusée

10.4 Conservation des sauvegardes

• Vos renseignements personnels peuvent figurer dans des sauvegardes système automatisées pendant une période de conservation limitée
• Ces sauvegardes sont chiffrées et conservées uniquement à des fins de reprise après sinistre
• À l'expiration de la période de conservation configurée, vos renseignements sont retirés du stockage de sauvegarde

10.5 Journaux d'audit

• Les journaux d'audit contenant des adresses IP et des horodatages sont conservés à des fins de sécurité et de conformité, conformément à notre calendrier de conservation interne
• Lorsque les journaux d'audit ne sont plus nécessaires aux fins initiales, les renseignements permettant d'identifier une personne sont dépersonnalisés ou supprimés
• Les journaux dépersonnalisés peuvent être conservés à des fins d'analyse de sécurité et d'amélioration de la plateforme
• Vous pouvez communiquer avec notre responsable de la protection des renseignements personnels pour connaître la période de conservation actuelle des journaux d'audit

10.6 Dossiers fiscaux et juridiques

• Les renseignements personnels liés aux obligations fiscales, aux transactions et à la conformité juridique sont conservés conformément à la loi
• En vertu des exigences fiscales québécoises et fédérales, nous conservons les dossiers pendant au moins 6 ans
• Ces dossiers sont conservés dans un stockage sécurisé et ne sont consultés qu'à des fins de conformité fiscale et juridique

10.7 Droit de demander la suppression

• Vous pouvez demander la suppression de vos renseignements personnels en tout temps en communiquant avec notre responsable de la protection des renseignements personnels
• Nous traiterons les demandes de suppression selon l'échéancier décrit à la section 10.2, sous réserve des obligations légales et contractuelles

11. Vos droits en matière de protection des renseignements personnels

Vous disposez des droits suivants à l'égard de vos renseignements personnels. Vous pouvez exercer l'un ou l'autre de ces droits en communiquant avec notre responsable de la protection des renseignements personnels.

11.1 Droit d'accès

• Vous avez le droit de demander une copie de tous les renseignements personnels que nous détenons à votre sujet
• Nous fournirons ces renseignements dans un format clair et intelligible
• Un nombre raisonnable de demandes d'accès est sans frais

11.2 Droit de rectification

• Vous avez le droit de demander la rectification de renseignements personnels inexacts, incomplets ou désuets
• Vous pouvez apporter vous-même la plupart des corrections dans les paramètres de votre compte
• Pour les corrections que nous ne pouvons pas effectuer au moyen de la plateforme, communiquez avec notre responsable de la protection des renseignements personnels

11.3 Droit à la suppression

• Vous avez le droit de demander la suppression de vos renseignements personnels
• Nous supprimerons vos renseignements selon l'échéancier décrit à la section 10 (Conservation et suppression des données)
• Certains renseignements peuvent être conservés en raison d'obligations légales ou d'intérêts d'affaires légitimes

11.4 Droit à la portabilité

• Depuis le 22 septembre 2024, vous avez le droit de recevoir vos renseignements personnels dans un format structuré, couramment utilisé et lisible par machine
• Vous pouvez demander que vos données soient transférées à un autre fournisseur de services
• Ce droit s'applique aux renseignements que vous nous avez fournis et à ceux que nous avons recueillis sur votre utilisation de la plateforme
• Nous fournirons vos données dans un format standard (p. ex., CSV, JSON) dans les 30 jours suivant votre demande

11.5 Droit de retirer le consentement

• Si vous avez initialement consenti à la collecte et au traitement de vos renseignements personnels, vous pouvez retirer ce consentement en tout temps
• Le retrait du consentement n'a pas d'incidence sur la licéité du traitement effectué pendant que le consentement était actif
• Après le retrait de votre consentement, nous cesserons de traiter ces renseignements aux fins auxquelles vous aviez consenti
• Vous pouvez retirer votre consentement en modifiant les paramètres de votre compte ou en communiquant avec notre responsable de la protection des renseignements personnels

11.6 Droit à la désindexation

• Vous avez le droit de demander la désindexation de vos renseignements personnels des résultats de recherche
• Nous demanderons aux moteurs de recherche de retirer les pages indexées contenant vos renseignements personnels
• Ce droit s'applique aux renseignements inexacts, incomplets ou excessifs

11.7 Comment exercer vos droits

Pour exercer l'un des droits décrits dans la présente section :

• Communiquez avec notre responsable de la protection des renseignements personnels :

  • Courriel : info@sciencereach.ca
  • Indiquez votre nom, le courriel de votre compte et une description claire de votre demande
  • Précisez le ou les droits que vous exercez

• Délai de réponse : Nous répondrons à votre demande dans les 30 jours suivant sa réception

• Vérification : Nous pouvons demander une preuve d'identité pour vérifier votre demande

• Aucune représaille : Nous n'exercerons aucune discrimination ni représaille à votre endroit pour avoir exercé vos droits

12. Mesures de sécurité

Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles complètes pour protéger vos renseignements personnels contre l'accès, la divulgation, la modification et la destruction non autorisés.

12.1 Sécurité des mots de passe

• Les mots de passe sont hachés au moyen d'un algorithme de hachage à sens unique robuste et conforme aux normes de l'industrie, avec salage
• Les mots de passe ne sont jamais stockés en clair et ne peuvent être récupérés par le personnel de ScienceReach

12.2 Authentification et gestion des sessions

• Les utilisateurs s'authentifient au moyen de leur courriel et de la vérification du mot de passe haché
• À la suite d'une authentification réussie, nous émettons des jetons de session pour la gestion de la session
• accessToken : De courte durée, stocké dans des témoins HttpOnly, utilisé pour l'authentification de l'API
• refreshToken : De durée plus longue mais limitée, stocké dans des témoins HttpOnly, utilisé pour obtenir de nouveaux jetons d'accès
• Les témoins HttpOnly ne sont pas accessibles à JavaScript, ce qui les protège contre les attaques par script intersites
• Tous les jetons ne sont transmis que sur des connexions HTTPS sécurisées
• La révocation des jetons côté serveur est prise en charge pour une sécurité accrue

12.3 Limitation du nombre de tentatives

Nous limitons le nombre de tentatives sur les points de terminaison suivants afin de prévenir les attaques par force brute et les abus :

• Tentatives de connexion : Limitées pour prévenir les attaques par devinette de mot de passe
• Demandes d'inscription : Limitées pour prévenir la création automatisée de comptes
• Demandes de réinitialisation du mot de passe : Limitées pour prévenir le détournement de compte
• Envoi de messages : Limité pour prévenir les pourriels et les abus

12.4 Protection contre la falsification de requête intersites (CSRF)

• Une protection contre la falsification de requête intersites (CSRF) est mise en œuvre sur toutes les opérations modifiant l'état
• Les jetons CSRF sont validés avant le traitement des soumissions de formulaire et des requêtes d'API

12.5 Restrictions CORS

• Le partage des ressources entre origines (CORS) est restreint aux domaines autorisés
• Les points de terminaison de l'API sont protégés contre les requêtes non autorisées provenant d'autres origines
• Les justificatifs (témoins, en-têtes d'autorisation) ne sont pas envoyés automatiquement avec les requêtes provenant d'autres origines

12.6 En-têtes de sécurité

• Nous utilisons un intergiciel de sécurité pour définir des en-têtes de sécurité HTTP complets
• Ces en-têtes comprennent :
  • Strict-Transport-Security (HSTS) — impose les connexions HTTPS
  • X-Content-Type-Options — empêche la détection de type MIME
  • X-Frame-Options — empêche les attaques par détournement de clic
  • Content-Security-Policy — restreint le chargement des ressources pour prévenir les attaques par injection

12.7 HSTS (HTTP Strict Transport Security)

• Le HSTS est activé pour imposer des connexions HTTPS sécurisées
• Les navigateurs convertissent automatiquement les requêtes HTTP en HTTPS
• Cela prévient les attaques de l'intercepteur et l'écoute clandestine

12.8 Assainissement du contenu

• Le contenu généré par les utilisateurs (publications, commentaires, etc.) est assaini pour en retirer tout code malveillant
• Le code HTML est nettoyé au moyen de bibliothèques d'assainissement appropriées
• Cela prévient les attaques par script intersites (XSS) au moyen de contenu soumis par les utilisateurs

12.9 Caviardage des données sensibles dans les journaux

Afin de protéger les renseignements sensibles, les éléments de données suivants sont caviardés dans les journaux et les systèmes de surveillance :

• password — toutes les variantes de champs de mot de passe
• token — tous les jetons d'authentification et d'API
• secret — clés secrètes et secrets d'API
• cookie — valeurs des témoins
• jwt — valeurs des jetons JWT
• authorization — en-têtes d'autorisation

Ces champs sensibles apparaissent comme [CAVIARDÉ] dans les journaux tout en conservant la structure à des fins de débogage.

12.10 Piste d'audit et identifiants de requête

• Un identifiant de requête unique est attribué à chaque requête à des fins d'audit et de débogage
• Des journaux d'audit sont tenus pour suivre l'accès aux données, les événements d'authentification et les activités liées à la sécurité
• Les identifiants de requête relient les journaux de plusieurs systèmes pour assurer des pistes d'audit complètes

12.11 Limites actuelles

• Authentification multifactorielle (AMF) : Non mise en œuvre actuellement; les utilisateurs s'authentifient uniquement au moyen d'un courriel et d'un mot de passe
• Les utilisateurs sont encouragés à utiliser des mots de passe robustes et uniques pour leur compte

12.12 Notification des incidents de confidentialité

En cas d'incident de confidentialité présentant un risque qu'un préjudice sérieux soit causé aux personnes concernées, ScienceReach :

• Avisera promptement la Commission d'accès à l'information (CAI), conformément à la loi applicable en matière de protection des renseignements personnels;
• Avisera promptement les personnes concernées en fournissant une description de l'incident, les renseignements personnels visés et les mesures prises ou prévues pour réduire le risque;
• Tiendra un registre de tout incident de confidentialité, qu'il présente ou non un risque de préjudice sérieux, pendant au moins 5 ans à compter de la date de l'incident, comme l'exige la loi.

ScienceReach évaluera le risque de préjudice sérieux en tenant compte de la sensibilité des renseignements, des conséquences appréhendées de leur utilisation et de la probabilité qu'ils soient utilisés à des fins préjudiciables.

13. Communications par courriel

Toutes les communications par courriel de ScienceReach respectent la loi anti-pourriel applicable.

13.1 Types de courriels envoyés

ScienceReach n'envoie que des courriels transactionnels — des courriels qui répondent à vos actions ou à l'état de votre compte :

• Vérification du compte : Courriel de confirmation lors de la création d'un compte
• Récupération du mot de passe : Liens de réinitialisation lorsque vous demandez la récupération de votre compte
• Avis relatifs au compte : Alertes concernant les modifications ou l'activité de votre compte
• Avis aux organisations : Alertes destinées aux administrateurs d'organisations concernant l'activité pertinente de la plateforme
• Confirmations de cours : Confirmations d'inscription et mises à jour liées aux cours
• Réponses aux demandes de service : Réponses à vos requêtes ou demandes de service

13.2 Aucun courriel commercial ou promotionnel

• ScienceReach n'envoie PAS de courriels commerciaux ou promotionnels sans votre consentement exprès et écrit
• Vous ne recevrez pas de messages de marketing, de bulletins ou d'offres promotionnelles à moins de vous y abonner explicitement
• Tout courriel promotionnel indiquera clairement qu'il est promotionnel et comprendra des instructions de désabonnement

13.3 Exigences d'identification des courriels

Tous les courriels de ScienceReach comprennent :

• Une identification claire de l'expéditeur (ScienceReach Consulting Inc.)
• Les coordonnées de l'expéditeur (info@sciencereach.ca)
• Une ligne d'objet claire et exacte décrivant le contenu du courriel

13.4 Options de désabonnement

• Tous les courriels envoyés par ScienceReach comprennent une option de désabonnement ou la possibilité de refuser les communications futures
• Pour les courriels transactionnels (avis relatifs au compte), vous pouvez gérer vos préférences dans les paramètres de votre compte
• Vous pouvez communiquer avec notre responsable de la protection des renseignements personnels pour vous désabonner des communications par courriel non essentielles

13.5 Fondement juridique des courriels transactionnels

• Les courriels transactionnels sont envoyés dans le cadre de notre contrat avec vous et sont nécessaires à la prestation des services de la plateforme
• Ces courriels ne nécessitent pas de consentement exprès en vertu de la loi anti-pourriel, car ils ne constituent pas des « messages électroniques commerciaux »
• Vous ne pouvez pas vous désabonner des courriels transactionnels tant que votre compte demeure actif

13.6 Conformité à la loi anti-pourriel

Toutes les pratiques d'envoi de courriels respectent la loi anti-pourriel applicable, notamment :

• L'identification exacte de l'expéditeur
• Des lignes d'objet et des descriptions de contenu claires
• La fourniture de mécanismes de désabonnement pour les courriels non transactionnels
• L'absence de pratiques de courriel trompeuses ou mensongères
• Le respect des demandes de désabonnement et des préférences de retrait

14. Modifications de la présente politique

14.1 Mises à jour de la politique

• Nous pouvons mettre à jour ou modifier la présente Politique de confidentialité de temps à autre pour tenir compte de l'évolution de nos pratiques, de la technologie, des exigences légales ou d'autres facteurs
• Toute mise à jour sera publiée sur cette page avec une date de « Dernière mise à jour » révisée en tête de la politique
• Nous vous encourageons à consulter périodiquement la présente politique pour rester informé de la façon dont nous protégeons vos renseignements

14.2 Notification des modifications importantes

• Pour les modifications importantes à la présente Politique de confidentialité qui touchent considérablement vos droits, nous vous aviserons par courriel ou par un avis bien visible sur la plateforme
• Les modifications importantes peuvent comprendre de nouvelles utilisations des données, des changements de sous-traitants ou des changements aux pratiques de conservation
• Nous vous donnerons un préavis raisonnable avant la mise en œuvre de modifications importantes

14.3 L'utilisation continue vaut acceptation

• Votre utilisation continue de la plateforme ScienceReach après des modifications de la présente Politique de confidentialité vaut acceptation de la politique mise à jour
• Si vous n'êtes pas d'accord avec nos pratiques de confidentialité mises à jour, vous devriez cesser d'utiliser la plateforme et demander la suppression de votre compte

14.4 Archivage des versions antérieures

• Les versions antérieures de la présente Politique de confidentialité sont disponibles sur demande auprès de notre responsable de la protection des renseignements personnels
• Vous pouvez nous écrire à info@sciencereach.ca pour demander une copie d'une version antérieure

15. Langue

La présente Politique de confidentialité est disponible en français et en anglais.

• Version française : Fournie sur cette page (www.sciencereach.ca)
• Version anglaise : Available in English (disponible au www.sciencereach.ca)

Conformément à la loi applicable du Québec en matière linguistique, en cas de divergence entre les versions française et anglaise de la présente politique, la version française est la version qui fait foi et qui lie les parties.

16. Coordonnées et responsable de la protection des renseignements personnels

Pour toute question, préoccupation ou demande concernant la présente Politique de confidentialité ou vos renseignements personnels, veuillez communiquer avec notre responsable de la protection des renseignements personnels :

Responsable de la protection des renseignements personnels :

• Nom : Hamid Golhasany
• Courriel : info@sciencereach.ca
• Organisation : ScienceReach Consulting Inc. / Conseil Science Reach Inc.
• Site Web : www.sciencereach.ca

Délais de réponse :

• Nous visons à répondre aux demandes de confidentialité dans les 30 jours suivant leur réception
• Pour les questions urgentes, veuillez clairement indiquer « URGENT » dans la ligne d'objet
• Nous pouvons demander des renseignements supplémentaires pour vérifier votre identité et traiter votre demande

Votre droit de porter plainte :

• Si vous n'êtes pas satisfait de notre réponse à votre préoccupation, vous pouvez porter plainte auprès de la Commission d'accès à l'information (CAI), l'autorité de surveillance du Québec en matière de protection des renseignements personnels
• Coordonnées de la CAI :
  • Site Web : www.cai.gouv.qc.ca
  • Courriel : contact@cai.gouv.qc.ca
  • Téléphone : 1-888-528-1432

POLITIQUE DE CONFIDENTIALITÉ DE SCIENCEREACH — FIN DU DOCUMENT

La présente Politique de confidentialité entre en vigueur à la date indiquée en tête du document et s'applique à tous les utilisateurs et visiteurs de la plateforme ScienceReach.

SCIENCEREACH PRIVACY POLICY

Last updated: June 2, 2026

1. Introduction

ScienceReach Consulting Inc. (also operating as Conseil Science Reach Inc.) is a bilingual science communication and knowledge mobilization platform based in Quebec, Canada. This Privacy Policy explains how we collect, use, disclose, and protect your personal information when you use our website (www.sciencereach.ca) and related services.

We are committed to protecting your privacy and ensuring you have a positive experience on our platform. This policy applies to all personal information we collect from users, account holders, organization representatives, course participants, and other visitors to our platform. We comply with applicable Canadian and Quebec privacy and anti-spam laws.

By accessing and using ScienceReach, you acknowledge that you have read and understood this Privacy Policy. If you do not agree with our privacy practices, you should not use our platform.

2. Privacy Officer

Our Privacy Officer is responsible for overseeing compliance with this Privacy Policy and all applicable privacy legislation.

Privacy Officer:

• Name: Hamid Golhasany
• Email: info@sciencereach.ca
• Organization: ScienceReach Consulting Inc. / Conseil Science Reach Inc.
• Website: www.sciencereach.ca

If you have any questions, concerns, or requests regarding your personal information, please contact our Privacy Officer at the email address provided above.

3. Information We Collect

3.1 Account Registration Information

When you create an account on ScienceReach, we collect the following information:

• Email address (required) — used as your unique identifier for login and account recovery
• Password (required) — securely stored using industry-standard one-way hashing; never stored in plain text
• First name (required)
• Middle name (optional)
• Last name (required)
• Position (optional) — your professional title or role
• Organization (optional) — your affiliated institution or employer
• Location information (all optional):
  • Country
  • State/Province
  • City
  • Postal code
  • Full address

3.2 Profile Information

You may optionally provide additional profile information to help other users learn about you:

• Bio or professional summary
• Research keywords or areas of expertise
• Avatar or profile image (hosted on Cloudinary)
• Personal or professional website
• Phone number
• ORCID identifier
• LinkedIn profile URL
• Professional affiliations and institutional memberships

3.3 User-Generated Content

We collect and store content that you create and submit on the platform:

• Science Communication Plans
• Community Knowledge Publications and articles
• Feedback notes and comments
• Contact form messages
• Service requests and inquiries
• Review proposals and peer feedback
• Images uploaded to the story gallery
• Any other content you choose to publish or share on the platform

3.4 Course and Program Registration Information

When you register for a course, workshop, or educational program offered through ScienceReach, we collect:

• Field of study or discipline
• Year in program or educational level
• City of residence
• Educational institution name
• Department or faculty affiliation
• Supervisor or instructor name (if applicable)
• Course name and course code
• How you heard about the program or course
• Consent to contact you regarding the program

3.5 Organization Data

When an organization creates or maintains a profile on ScienceReach, we collect:

• Organization name
• Organization category or type
• Primary contact name and email address
• Phone number
• Website URL
• Physical location (country, state, city, address)
• Organization description and mission statement
• Services offered
• Logo or organizational imagery (hosted on Cloudinary)

3.6 Automatically Collected Information

We automatically collect certain information when you use our platform:

• IP address — recorded in audit events and security logs
• User agent — browser and operating system information
• Page views and navigation — tracked via Google Analytics
• Publication access metrics — read counts and timing of reads
• Login activity — timestamps of login events and last login date
• Usage patterns — interactions with platform features

3.7 Information We Do NOT Collect

To protect your privacy, we explicitly do NOT collect or store the following:

• Health information or medical data
• Biometric data (fingerprints, facial recognition, etc.)
• Social insurance or social security numbers
• Government-issued identification numbers (driver's license, passport, etc.)
• Full payment card numbers or bank account numbers — when you pay for a paid service, payment is handled by our payment processor (Stripe), which collects and stores card details on its own secure, PCI-compliant systems; ScienceReach does not receive or store your full card number (see Section 3.8)

3.8 Payment Information

When you pay for a paid service—such as program or course registration, or a CKP publishing service—payment is processed by our third-party payment processor, Stripe. Stripe collects and processes your payment details (including card information) on its own secure, PCI-compliant systems. ScienceReach receives only limited billing and transaction information—such as your name, email address, billing details, amount, and a transaction reference—and does not receive or store your full card number.

4. How We Use Your Information

We use the personal information we collect for the following purposes:

4.1 Account Management and Authentication

• Creating and maintaining your user account
• Verifying your identity and authenticating your login sessions
• Recovering your account if you forget your password

4.2 Providing Platform Services

• Enabling you to access ScienceReach features and tools
• Hosting and delivering your profile information to other users
• Displaying your contributed content on the platform
• Facilitating collaboration and communication between users

4.3 Publishing and Attribution

• Publishing your user-generated content (Science Communication Plans, articles, images, etc.)
• Attributing content to you and maintaining author records
• Managing co-authorship relationships and contributor acknowledgments

4.4 Processing Service Requests and Transactions

• Processing course registrations and educational program enrollments
• Handling service requests, inquiries, and support tickets
• Processing payments for paid services through our payment processor (Stripe), and managing related billing and confirmations
• Providing confirmation and receipt information

4.5 Transactional Communications

• Sending email verification links during account signup
• Sending password reset emails when requested
• Sending account notifications and platform updates
• Notifying organization representatives of relevant activities
• Sending course confirmation and program-related communications

4.6 Platform Security

• Protecting the platform against unauthorized access and fraud
• Implementing rate limiting on authentication and signup attempts
• Preventing abuse, spam, and malicious activity
• Maintaining audit logs for security investigations
• Detecting and responding to security threats

4.7 Analytics and Platform Improvement

• Analyzing aggregate usage patterns to improve the platform
• Understanding which features are most valuable to users
• Identifying and fixing technical issues
• Conducting research to optimize user experience
• Monitoring platform performance and reliability

4.8 Legal Compliance

• Complying with our legal obligations under applicable privacy and anti-spam laws
• Responding to lawful requests from government authorities
• Protecting our legal rights and defending against claims
• Retaining records as required by law (e.g., tax records)

5. Legal Bases for Processing

We process your personal information based on the following legal bases:

5.1 Consent

• Account creation: You provide explicit consent by creating an account
• Profile information: You provide consent by voluntarily completing your profile
• Content submission: You provide consent by publishing content on the platform
• Non-essential cookies: You provide affirmative consent before we set cookies beyond those essential for platform function
• Analytics: You provide affirmative consent before Google Analytics tracking is activated

5.2 Contract Performance

• We process your information as necessary to provide the ScienceReach platform and services you have requested
• This is essential for account management, service delivery, and publication features

5.3 Legal Obligation

• We process your information to comply with applicable privacy, anti-spam, and other laws
• We retain certain records (audit logs, tax documentation, etc.) as required by law

5.4 Legitimate Interest

• Platform security: We have a legitimate interest in preventing fraud, abuse, and unauthorized access
• Platform improvement: We have a legitimate interest in analyzing usage patterns to improve our services
• Legal protection: We have a legitimate interest in protecting our legal rights and defending against claims

6. Cookies and Tracking Technologies

6.1 Essential Cookies (No Consent Required)

The following cookies are essential to the functioning of the ScienceReach platform and are set without requiring your consent:

These cookies are strictly necessary for you to log in, maintain your session, and access protected features of the platform. They are transmitted only over secure HTTPS connections and cannot be accessed by client-side JavaScript, protecting them from cross-site scripting attacks.

6.2 Functional Storage (Consent Required for Non-Essential Use)

We store certain preferences and technical data in your browser's localStorage and sessionStorage. These are not cookies but serve similar functions. For non-essential preferences, consent is required under applicable privacy law.

This stored information includes your language and accessibility preferences, your viewing and citation preferences, locally tracked counts of publications you've accessed, autosaved drafts of content you are composing, and technical data needed for session and navigation functions (such as cross-tab logout coordination). Persistent preferences remain until you clear them; session data is cleared when your browser session ends.

6.3 Analytics (Consent Required, Default OFF)

We use Google Analytics (GA4) to understand how users interact with our platform. Analytics are disabled by default and only activated after you provide explicit consent.

• Service: Google Analytics 4 (GA4)
• Purpose: Tracking page views, user interactions, and usage patterns
• Data collected: URLs visited, device information (derived), location information (derived), user-agent information
• Provider: Google LLC (United States)

6.4 Cookie Consent Management

• Non-essential cookies and analytics are disabled by default until you explicitly provide consent through our consent management interface
• You may withdraw consent at any time by adjusting your preferences in your account settings or by clearing your browser cookies
• Withdrawing consent does not affect the lawfulness of processing that occurred while consent was active
• We respect your choices: If you do not provide consent, you can still use all essential features of the ScienceReach platform

All cookie practices comply with applicable privacy law requirements for obtaining informed, explicit consent before setting non-essential tracking technologies.

7. Children's Privacy

7.1 Age Requirements and Parental Consent

ScienceReach is not intended for children under the age of 14. The minimum age to create an account and use the platform is 14 years old.

7.2 Ages 14-17

• Self-consent: Under applicable Quebec privacy law, children aged 14-17 may consent to the collection of their personal information without parental permission
• Account creation: However, per our User Agreement, parental permission is required for account creation by minors aged 14-17
• Parental access: Parents of minor account holders may request information about their child's use of the platform

7.3 Children Under 14

• Parental consent required: We require explicit parental or guardian consent before collecting personal information from children under 14
• No knowingly collection without consent: We do not knowingly collect personal information from children under 14 without verified parental or guardian consent
• User responsibility: ScienceReach does not currently employ automated age verification during registration. It is the responsibility of the user (or the user's parent or guardian, as applicable) to confirm that the user meets the minimum age requirements prior to creating an account. ScienceReach reserves the right to implement age verification measures in the future.

7.4 Accidental Collection

• If we become aware that we have collected personal information from a child under 14 without documented parental consent, we will delete that information promptly
• Reporting: Parents or guardians who believe we have collected information from a child under 14 without consent should contact our Privacy Officer immediately at info@sciencereach.ca

8. Third-Party Services and Sub-Processors

ScienceReach uses the following third-party services to deliver certain features. These services act as sub-processors and may have access to limited personal information.

8.1 Sub-Processor Table

Where applicable, these providers process personal data under their standard data processing terms or addenda, which include obligations to safeguard personal information.

8.2 Detailed Sub-Processor Information

Google Analytics (GA4)

• Tracks page views, user interactions, and usage patterns on the ScienceReach platform
• Collects URLs visited, device type information (derived), and user-agent data
• Based in the United States
• Governed by Google's Privacy Policy and Data Processing Amendment

Stripe

• Processes payments for paid services (program/course registration and CKP publishing services)
• Collects and stores payment card details on its own secure, PCI-compliant systems
• ScienceReach receives only limited billing and transaction information, not full card numbers
• Based in the United States
• Governed by Stripe's Data Processing Agreement

Cloudinary

• Stores and serves images you upload, including profile avatars and story gallery images
• Operates a content delivery network for fast, global image serving
• Based in the United States
• Provides data-protection-compliant processing under their Data Processing Addendum

Amazon SES (AWS)

• Sends transactional emails on our behalf (verification links, password resets, notifications)
• Receives your email address and email content only when we send emails
• Data region is configurable
• Governed by AWS Data Processing Addendum

Google Fonts

• Delivers fonts used on the ScienceReach website
• When your browser loads fonts from Google, your IP address and user-agent are transmitted
• Based in the United States
• Limited data exposure; fonts are delivered over HTTPS

DigitalOcean

• Provides container hosting infrastructure for deploying the ScienceReach application
• No end-user personal data is directly processed by DigitalOcean; they host the application only
• Data region is configurable based on our deployment settings
• Governed by DigitalOcean's Data Processing Amendment

UptimeRobot

• Monitors the availability and uptime of the ScienceReach platform
• Periodically checks the /health endpoint to ensure the platform is running
• Collects minimal data (HTTP status codes, response times, no personal information)
• Based in the United States

i.pravatar.cc

• Provides placeholder avatar images for users who have not uploaded a profile picture
• When your browser loads images from this service, your IP address and user-agent are transmitted
• This is an external service that does not store personal information
• Limited data exposure; avatars are served over HTTPS

8.3 Limits on Data Sharing

We share personal information only with the sub-processors listed above, and only to the extent needed to provide our services. We do not sell your personal information, and we do not share it with advertising networks or data brokers.

9. Cross-Border Data Transfers

9.1 International Data Transfers

ScienceReach is based in Quebec, Canada, but some of your personal information may be transferred outside of Quebec through our sub-processors, particularly those based in the United States (Google Analytics, Cloudinary, AWS, Google Fonts, UptimeRobot, i.pravatar.cc).

9.2 Privacy Impact Assessments

Before transferring personal information outside Quebec, we:

• Conduct Privacy Impact Assessments to evaluate the risks of international transfer
• Assess the privacy laws and enforcement mechanisms in the destination jurisdiction
• Document our assessment and rationale for the transfer
• Ensure appropriate safeguards are in place

9.3 Contractual Protections

• All sub-processors are bound by Data Processing Agreements or Data Processing Addenda that include:
  • Obligations to protect your personal information with appropriate security measures
  • Restrictions on how they may use your information
  • Commitments to comply with applicable privacy law requirements
  • Rights to audit and inspect their data handling practices
  • Obligations to notify us of data breaches

9.4 Your Rights Regarding International Transfers

• You have the right to request information about international transfers of your personal information
• You have the right to withdraw consent for processing by sub-processors located outside Quebec
• You may contact our Privacy Officer to discuss your concerns about cross-border data transfers

10. Data Retention and Deletion

10.1 Active Account Data

• Personal information associated with an active account is retained while your account remains active
• You may request deletion of your account and personal information at any time

10.2 Account Deletion Process

• Soft delete (30 days): When you request account deletion, your account is placed in a soft-delete state for 30 days. During this period, you can reactivate your account if you change your mind
• Hard delete (30-90 days): After the soft-delete period expires, ScienceReach will proceed with permanent deletion of your account and associated personal information. Hard deletion is carried out manually and may take up to 90 days. You may contact the Privacy Officer to request expedited deletion.
• Irreversible: Hard deletion is permanent and cannot be undone

10.3 Co-Authored Publications

• If you authored or co-authored a publication (CKP), that publication remains published after your account is deleted
• Consistent with standard academic publishing practice, your authorship attribution (your name in the byline and citation) is retained on the published work as part of the permanent scholarly record, even after account deletion. This is permitted under applicable privacy law, which allows retention for scientific, archival, and public-interest purposes
• Your account-linked personal information—email address, contact details, profile page, and profile links—is deleted or anonymized and is no longer associated with the publication
• Removing or altering your name on an already-published work is handled separately under the CKP Publishing Agreement, and may not always be possible once the work has been distributed

10.4 Backup Retention

• Your personal information may exist in automated system backups for a limited retention period
• These backups are encrypted and retained for disaster recovery purposes only
• After the configured retention period expires, your information is removed from backup storage

10.5 Audit Logs

• Audit logs containing IP addresses and timestamps are retained for security and compliance purposes in accordance with our internal retention schedule
• When audit logs are no longer needed for their original purpose, personally identifiable information is de-identified or deleted
• De-identified logs may be retained for security analysis and platform improvement
• You may contact our Privacy Officer for details on the current audit log retention period

10.6 Tax and Legal Records

• Personal information related to tax obligations, transactions, and legal compliance is retained as required by law
• Under Quebec tax law and federal tax requirements, we retain records for a minimum of 6 years
• These records are retained in secure storage and only accessed for tax and legal compliance purposes

10.7 Right to Request Deletion

• You may request deletion of your personal information at any time by contacting our Privacy Officer
• We will process deletion requests according to the timeline outlined in section 10.2, subject to legal and contractual obligations

11. Your Privacy Rights

You have the following rights regarding your personal information. You may exercise any of these rights by contacting our Privacy Officer.

11.1 Right of Access

• You have the right to request a copy of all personal information we hold about you
• We will provide this information in a clear, intelligible format
• There is no charge for a reasonable number of access requests

11.2 Right of Correction

• You have the right to request that inaccurate, incomplete, or outdated personal information be corrected
• You may submit corrections directly through your account settings for most information
• For corrections we cannot accommodate through the platform, contact our Privacy Officer

11.3 Right of Deletion

• You have the right to request deletion of your personal information
• We will delete your information according to the timeline outlined in Section 10 (Data Retention and Deletion)
• Some information may be retained due to legal obligations or legitimate business purposes

11.4 Right of Portability

• Effective date: September 22, 2024, you have the right to receive your personal information in a structured, commonly-used, machine-readable format
• You may request your data be transferred to another service provider
• This right applies to information you have provided to us and information we have collected about your use of the platform
• We will provide your data in a standard format (e.g., CSV, JSON) within 30 days of your request

11.5 Right to Withdraw Consent

• If you originally consented to the collection and processing of your personal information, you may withdraw that consent at any time
• Withdrawing consent does not affect the lawfulness of processing that occurred while consent was active
• After you withdraw consent, we will no longer process that information for the purposes you consented to
• You can withdraw consent by adjusting your account settings or by contacting our Privacy Officer

11.6 Right to De-Indexation

• You have the right to request that your personal information be de-indexed from search results
• We will request that search engines remove indexed pages containing your personal information
• This right applies to information that is inaccurate, inadequate, or excessive

11.7 How to Exercise Your Rights

To exercise any of the rights described in this section:

• Contact our Privacy Officer:

  • Email: info@sciencereach.ca
  • Include your name, account email, and a clear description of your request
  • Specify which right(s) you are exercising

• Response timeline: We will respond to your request within 30 days of receipt

• Verification: We may request proof of identity to verify your request

• No retaliation: We will not discriminate or retaliate against you for exercising your rights

12. Security Measures

We implement comprehensive technical and organizational security measures to protect your personal information from unauthorized access, disclosure, alteration, and destruction.

12.1 Password Security

• Passwords are hashed using a strong, industry-standard one-way hashing algorithm with salting
• Passwords are never stored in plain text and cannot be recovered by ScienceReach staff

12.2 Authentication and Session Management

• Users authenticate using email and hashed password verification
• Upon successful authentication, we issue session tokens for session management
• accessToken: Short-lived, stored in HttpOnly cookies, used for API authentication
• refreshToken: Longer-lived but limited in duration, stored in HttpOnly cookies, used to obtain new access tokens
• HttpOnly cookies cannot be accessed by JavaScript, protecting them from cross-site scripting attacks
• All tokens are transmitted only over secure HTTPS connections
• Server-side token revocation is supported for enhanced security

12.3 Rate Limiting

We implement rate limiting on the following endpoints to prevent brute-force attacks and abuse:

• Authentication login attempts: Limited to prevent password guessing attacks
• Signup requests: Limited to prevent automated account creation
• Password reset requests: Limited to prevent account takeover
• Message submission: Limited to prevent spam and abuse

12.4 CSRF Protection

• Cross-Site Request Forgery (CSRF) protection is implemented on all state-changing operations
• CSRF tokens are validated before processing form submissions and API requests

12.5 CORS Restrictions

• Cross-Origin Resource Sharing (CORS) is restricted to authorized domains
• API endpoints are protected against unauthorized cross-origin requests
• Credentials (cookies, authorization headers) are not automatically sent with cross-origin requests

12.6 Security Headers

• We use security middleware to set comprehensive HTTP security headers
• Headers include:
  • Strict-Transport-Security (HSTS) — enforces HTTPS connections
  • X-Content-Type-Options — prevents MIME type sniffing
  • X-Frame-Options — prevents clickjacking attacks
  • Content-Security-Policy — restricts resource loading to prevent injection attacks

12.7 HSTS (HTTP Strict Transport Security)

• HSTS is enabled to enforce secure HTTPS connections
• Browsers will automatically upgrade HTTP requests to HTTPS
• This prevents man-in-the-middle attacks and eavesdropping

12.8 Content Sanitization

• User-generated content (publications, comments, etc.) is sanitized to remove malicious code
• HTML is cleaned using appropriate sanitization libraries
• This prevents cross-site scripting (XSS) attacks through user-submitted content

12.9 Sensitive Data Redaction in Logs

To protect sensitive information, the following data elements are redacted in logs and monitoring systems:

• password — all variations of password fields
• token — all authentication and API tokens
• secret — secret keys and API secrets
• cookie — cookie values
• jwt — JWT token values
• authorization — authorization headers

These sensitive fields appear as [REDACTED] in logs while maintaining the structure for debugging purposes.

12.10 Audit Trail and Request IDs

• Each request is assigned a unique request ID for auditing and debugging
• Audit logs are maintained to track data access, authentication events, and security-related activities
• Request IDs link logs across multiple systems for complete audit trails

12.11 Current Limitations

• Multi-factor authentication (MFA): Not currently implemented; users authenticate with email and password only
• Users are encouraged to use strong, unique passwords for their accounts

12.12 Data Breach Notification

In the event of a breach of personal information that presents a risk of serious injury to affected individuals, ScienceReach will:

• Notify the Commission d'accès à l'information (CAI) promptly, in accordance with applicable privacy law;
• Notify affected individuals promptly, providing a description of the breach, the personal information involved, and the measures taken or planned to reduce risk;
• Maintain a record of every breach of personal information, whether or not it presents a risk of serious injury, for a minimum of 5 years from the date of the breach, as required by law.

ScienceReach will assess the risk of serious injury taking into account the sensitivity of the information, the anticipated consequences of its use, and the likelihood that it will be used for harmful purposes.

13. Email Communications

All email communications from ScienceReach comply with applicable anti-spam law.

13.1 Types of Emails Sent

ScienceReach sends only transactional emails — emails that respond to your actions or account status:

• Account verification: Confirmation email when you create a new account
• Password recovery: Password reset links when you request account recovery
• Account notifications: Alerts about changes to your account or activity
• Organization notifications: Alerts for organization administrators about relevant platform activity
• Course confirmations: Enrollment confirmations and course-related updates
• Service request responses: Replies to your inquiries or service requests

13.2 No Commercial or Promotional Emails

• ScienceReach does NOT send commercial or promotional emails without your express written consent
• You will not receive marketing messages, newsletters, or promotional offers unless you explicitly subscribe to them
• Any promotional emails will clearly state they are promotional and include unsubscribe instructions

13.3 Email Identification Requirements

All emails from ScienceReach include:

• A clear identification of the sender (ScienceReach Consulting Inc.)
• The contact information for the sender (info@sciencereach.ca)
• A clear, accurate subject line describing the email content

13.4 Unsubscribe Options

• All emails sent by ScienceReach include an unsubscribe option or ability to opt out of future communications
• For transactional emails (account notifications), you may manage preferences in your account settings
• You may contact our Privacy Officer to opt out of non-essential email communications

13.5 Legal Basis for Transactional Emails

• Transactional emails are sent as part of our contract with you and are necessary to provide platform services
• These emails do not require express consent under anti-spam law, as they are not "commercial electronic messages"
• You cannot opt out of transactional emails while maintaining an active account

13.6 Anti-Spam Compliance

All email practices comply with applicable anti-spam law, including:

• Accurate identification of the sender
• Clear subject lines and content descriptions
• Provision of unsubscribe mechanisms for non-transactional emails
• No deceptive or misleading email practices
• Respect for unsubscribe requests and opt-out preferences

14. Changes to This Policy

14.1 Policy Updates

• We may update or modify this Privacy Policy from time to time to reflect changes in our practices, technology, legal requirements, or other factors
• Any updates will be posted on this page with a revised "Last updated" date at the top of the policy
• We encourage you to review this policy periodically to stay informed of how we protect your information

14.2 Notification of Material Changes

• For material changes to this Privacy Policy that significantly affect your privacy rights, we will notify you by email or prominent notification on the platform
• Material changes may include new uses of data, changes to sub-processors, or changes to retention practices
• We will provide reasonable notice before implementing material changes

14.3 Continued Use Constitutes Acceptance

• Your continued use of the ScienceReach platform after changes to this Privacy Policy constitutes your acceptance of the updated policy
• If you do not agree with our updated privacy practices, you should discontinue use of the platform and request deletion of your account

14.4 Archival of Previous Versions

• Previous versions of this Privacy Policy are available upon request from our Privacy Officer
• You may contact us at info@sciencereach.ca to request a copy of a previous version

15. Language

This Privacy Policy is available in both English and French.

• English version: Provided on this page (www.sciencereach.ca)
• French version: Disponible en français (available at www.sciencereach.ca)

Under applicable Quebec language law, if there is any discrepancy between the English and French versions of this policy, the French version is the binding and authoritative version.

16. Contact and Privacy Officer Information

If you have any questions, concerns, or requests regarding this Privacy Policy or your personal information, please contact our Privacy Officer:

Privacy Officer:

• Name: Hamid Golhasany
• Email: info@sciencereach.ca
• Organization: ScienceReach Consulting Inc. / Conseil Science Reach Inc.
• Website: www.sciencereach.ca

Response Times:

• We aim to respond to privacy inquiries within 30 days of receipt
• For urgent matters, please clearly mark your email as "URGENT" in the subject line
• We may request additional information to verify your identity and process your request

Your Right to Lodge a Complaint:

• If you are not satisfied with our response to your privacy concern, you may lodge a complaint with the Commission d'accès à l'information (CAI), Quebec's privacy regulator
• CAI Contact Information:
  • Website: www.cai.gouv.qc.ca
  • Email: contact@cai.gouv.qc.ca
  • Phone: 1-888-528-1432

SCIENCEREACH PRIVACY POLICY — END OF DOCUMENT

This Privacy Policy is effective as of the date shown at the top of this document and applies to all users and visitors to the ScienceReach platform.