Programme de sécurité de l'information

1. Objet et portée

Renji Labs, Inc. (« Renji Labs », « nous », « notre » ou « nos ») exploite Kaiary, une application de journal familial propulsée par l'IA. Le présent Programme de sécurité de l'information (le « Programme ») décrit les mesures administratives, techniques et physiques que nous maintenons pour protéger la confidentialité, l'intégrité et la disponibilité des renseignements personnels traités dans le cadre de Kaiary — y compris le contenu familial, les données biométriques et les renseignements de compte.

Le présent Programme vise à satisfaire nos obligations en vertu des lois applicables, notamment : le Children's Online Privacy Protection Rule (COPPA), l'Illinois Biometric Information Privacy Act (BIPA), les lois biométriques et de sécurité de l'information d'État (comme le Texas CUBI, le Washington RCW 19.375 et le New York SHIELD Act), le California Consumer Privacy Act (modifié par le CPRA), la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (modifiée par la Loi 25), et les obligations équivalentes dans les autres territoires où nous exerçons nos activités.

2. Définitions

• Renseignements personnels. Tout renseignement qui identifie, concerne, décrit ou peut raisonnablement être lié à une personne physique ou à un ménage, tel que défini par la loi applicable.
• Contenu familial. Les entrées de journal, photos, vidéos, enregistrements audio, légendes et événements marquants que les utilisateurs créent ou téléversent dans Kaiary.
• Données biométriques. Vecteurs de géométrie faciale (incrustations de visage) extraits des photos lorsqu'un utilisateur active la reconnaissance faciale, comme décrit plus en détail dans notre Politique de confidentialité et notre Politique de conservation des données.
• Renseignements personnels d'enfants. Renseignements personnels de toute personne âgée de moins de 18 ans qui sont traités dans le cadre de Kaiary, y compris les photographies, les vidéos, les enregistrements vocaux, les noms et les données biométriques de mineurs apparaissant comme sujets dans le contenu familial.
• Personnel. Les employés, les sous-traitants et les agents de Renji Labs ayant accès aux systèmes ou aux données visés par le présent Programme.

3. Gouvernance et rôles

La responsabilité du présent Programme est répartie comme suit :

• Chef de la direction : est propriétaire du Programme et approuve les changements importants.
• Coordinateur de sécurité désigné : personne nommée responsable de l'administration quotidienne du Programme, y compris la coordination de la réponse aux incidents, les revues de fournisseurs et la révision annuelle du présent document. Le coordinateur actuel est joignable à security@kaiary.ai.
• Direction du génie : met en œuvre et exploite les mesures techniques décrites à la section 7.
• Tous les membres du personnel : sont responsables de respecter le présent Programme et de signaler les incidents de sécurité présumés par les canaux décrits à la section 11.

4. Classification des données

Nous classifions les données dans les catégories suivantes afin que les contrôles puissent être appliqués proportionnellement à la sensibilité :

• Niveau 1 — Hautement sensible. Données biométriques (incrustations de visage), identifiants et secrets d'authentification, identifiants liés aux paiements, et enregistrements de consentement.
• Niveau 2 — Sensible. Contenu familial (photos, vidéos, entrées de journal, audio), noms, dates de naissance, coordonnées, localisation précise et renseignements représentant des enfants.
• Niveau 3 — Confidentiel. Métadonnées de compte, identifiants d'appareil, jetons push, dossiers d'abonnement et de facturation, et événements d'analyse de produit liés à un identifiant utilisateur.
• Niveau 4 — Interne. Données opérationnelles agrégées, anonymisées ou non personnelles.

Les renseignements personnels d'enfants reçoivent la protection de niveau 1 quel que soit l'endroit où ils apparaissent dans le système.

5. Évaluation des risques

Nous effectuons une évaluation des risques au moins une fois par an, ainsi que lors de tout changement important à nos activités de traitement, à notre infrastructure ou aux lois applicables. L'évaluation porte sur :

• Les menaces internes et externes raisonnablement prévisibles à la confidentialité, à l'intégrité et à la disponibilité des renseignements personnels
• La probabilité et l'incidence potentielle de chaque menace
• La suffisance des contrôles en place pour atténuer ces menaces
• Les risques spécifiquement associés aux données biométriques, aux données d'enfants et au contenu familial

Les constats sont documentés et utilisés pour orienter la remédiation. Le coordinateur de sécurité désigné assure le suivi des risques ouverts jusqu'à leur fermeture.

6. Mesures administratives

6.1 Contrôles sur le personnel

Tous les membres du personnel ayant accès aux renseignements personnels sont soumis à :

• Des vérifications d'antécédents lorsque la loi applicable le permet
• Des ententes de confidentialité et d'utilisation acceptable comme condition d'accès
• Une attribution d'accès fondée sur le rôle et un désapprovisionnement rapide en cas de changement de rôle ou de départ

6.2 Gestion des accès

L'accès aux systèmes contenant des renseignements personnels est régi par le principe du moindre privilège :

• L'accès à la production exige une authentification multifacteur et est limité au personnel d'ingénierie ayant un besoin commercial documenté
• Les actions privilégiées sont journalisées et examinées
• Des revues d'accès sont effectuées au moins trimestriellement pour confirmer que les niveaux d'accès actuels demeurent appropriés
• Les comptes partagés sont interdits ; chaque action est attribuable à une personne nommée

6.3 Formation en sécurité

Tous les membres du personnel suivent une formation en sécurité et en confidentialité à l'embauche et au moins une fois par an par la suite. La formation couvre, au minimum : la reconnaissance de l'hameçonnage, les pratiques de manipulation sécuritaire des renseignements personnels, les protections spéciales applicables aux données d'enfants et aux données biométriques, le processus de signalement des incidents et les exigences du présent Programme.

6.4 Gestion des risques fournisseurs et tiers

Avant d'engager tout tiers qui recevra des renseignements personnels ou pourra y accéder, nous évaluons la posture de sécurité du fournisseur, ses engagements contractuels, ses pratiques de sous-traitance et toute certification pertinente. Les fournisseurs importants sont soumis à :

• Des ententes écrites incluant des clauses de confidentialité, de sécurité, de notification de bris et de traitement des données
• Une réévaluation périodique selon la sensibilité des données partagées
• Des restrictions sur les catégories de données qu'ils peuvent recevoir — par exemple, nos partenaires de publicité et d'analyse sont contractuellement limités aux données d'événements et d'identifiants décrites dans notre Politique de confidentialité et ne reçoivent jamais de contenu familial, de données biométriques ou de renseignements personnels d'enfants

7. Mesures techniques

7.1 Chiffrement

• En transit : toutes les connexions entre les appareils des utilisateurs, nos serveurs et nos fournisseurs d'infrastructure sont protégées par TLS 1.2 ou supérieur (TLS 1.3 lorsque pris en charge).
• Au repos : le contenu familial stocké dans Amazon S3 est chiffré avec le chiffrement côté serveur AES-256. Le stockage de la base de données (y compris les incrustations de visage stockées dans PostgreSQL avec l'extension pgvector) est chiffré au repos à l'aide du chiffrement AWS RDS.
• Secrets et clés : les clés d'API, les identifiants de base de données et les clés de chiffrement sont stockés dans AWS Secrets Manager et font l'objet d'une rotation selon un calendrier documenté. Les secrets ne sont jamais commités dans le code source.

7.2 Authentification et autorisation

• L'authentification des utilisateurs est fournie par Supabase Auth, prenant en charge la connexion Apple, la connexion Google et les codes à usage unique par SMS via Twilio.
• L'accès du personnel aux outils d'administration exige une authentification multifacteur.
• L'autorisation au niveau de l'application impose une isolation des données par famille : chaque requête à la base de données est limitée par l'appartenance familiale de l'utilisateur, de sorte qu'un utilisateur ne peut pas récupérer les données d'une autre famille.
• Les médias livrés par notre réseau de diffusion de contenu sont protégés par des témoins signés à portée de session, avec rafraîchissement automatique et expirations courtes.

7.3 Sécurité réseau et applicative

• Les charges de travail de production fonctionnent dans un cloud privé virtuel avec des contrôles d'entrée et de sortie restrictifs.
• Les services sont placés derrière un pare-feu d'application Web géré et des contrôles de limitation de débit.
• Les dépendances logicielles sont analysées pour détecter les vulnérabilités connues, et les constats de gravité élevée font l'objet d'un suivi jusqu'à la remédiation.
• Les modifications de code sont révisées par au moins un ingénieur autre que l'auteur avant la fusion, et les modifications sensibles sur le plan de la sécurité font l'objet d'une revue supplémentaire.

7.4 Journalisation, surveillance et détection

• Les événements applicatifs, d'infrastructure et de sécurité sont journalisés de façon centralisée.
• Nous surveillons l'activité d'authentification anormale, les escalades de privilèges et les comportements compatibles avec un abus ou une compromission.
• Les données de plantage et d'erreur sont capturées par Sentry et examinées par l'équipe d'ingénierie selon une cadence régulière.
• Les journaux sont conservés pendant les périodes précisées dans notre Politique de conservation et de destruction des données.

7.5 Gestion des vulnérabilités et des correctifs

• Les systèmes d'exploitation, les images de conteneurs et les dépendances applicatives sont maintenus à jour avec les correctifs de sécurité.
• Les vulnérabilités critiques sont priorisées selon le risque qu'elles représentent.
• Nous soutenons la divulgation responsable des vulnérabilités et accueillons les rapports à security@kaiary.ai.

7.6 Développement logiciel sécurisé

• Les pratiques d'ingénierie comprennent la revue de code, les tests automatisés et l'analyse statique.
• Les opérations sensibles — comme le traitement biométrique, l'enregistrement du consentement et l'accès aux médias — sont testées pour assurer l'application correcte des contrôles d'accès.
• Les environnements de pré-production utilisent des données synthétiques ou anonymisées ; les données de production ne sont pas copiées vers les environnements de développement.

8. Mesures physiques

Kaiary n'exploite pas ses propres centres de données. Les données de production résident chez des fournisseurs d'infrastructure infonuagique (principalement Amazon Web Services) qui maintiennent des contrôles de sécurité physique décrits dans leurs certifications publiées, y compris SOC 2 Type II et ISO/IEC 27001. Les bureaux de Renji Labs et les appareils du personnel sont protégés par la gestion des appareils, le chiffrement intégral du disque, le verrouillage automatique de l'écran et des contrôles standard d'accès physique.

9. Protections spéciales pour les renseignements personnels d'enfants

Même si seul un adulte de 18 ans ou plus peut créer un compte Kaiary, le contenu familial inclut souvent des photographies, des vidéos, des enregistrements audio et des renseignements biographiques sur des enfants. Nous traitons tous ces renseignements comme des renseignements personnels d'enfants et appliquons des mesures de protection accrues :

• Les renseignements personnels d'enfants sont classés au niveau 1 (hautement sensible)
• Ils sont chiffrés en transit et au repos, et leur portée est limitée à la famille à la couche applicative, de sorte qu'ils ne peuvent jamais être retournés à quelqu'un en dehors du groupe familial
• Ils ne sont jamais partagés avec nos partenaires de publicité ou d'analyse
• Ils sont traités exclusivement par une infrastructure d'IA auto-hébergée sous le contrôle direct de Renji Labs ; aucun service d'IA tiers ne reçoit d'images, de vidéos ou d'audios représentant des enfants
• Les calendriers de conservation pour les renseignements personnels d'enfants sont régis par notre Politique de conservation et de destruction des données et n'autorisent pas la conservation indéfinie

10. Protections spéciales pour les données biométriques

Si un utilisateur active la reconnaissance faciale, Kaiary extrait et stocke des vecteurs de géométrie faciale (incrustations numériques) dérivés des photos. Nous protégeons ces données par les contrôles supplémentaires suivants :

• Traitement auto-hébergé. La détection et la reconnaissance des visages sont effectuées par Renji Face, un système interne fonctionnant sur une infrastructure sous notre contrôle direct. Les empreintes faciales ne sont jamais transmises à des services d'IA tiers, à des annonceurs, à des fournisseurs d'analyse ou à des courtiers en données.
• Aucune image faciale brute pour la correspondance. Seule l'incrustation mathématique est stockée pour la reconnaissance ; la correspondance est effectuée par rapport à l'incrustation, et non à la photo originale.
• Portée par famille. Les incrustations de visage sont partitionnées par identifiant familial à la couche de la base de données et ne peuvent pas être comparées entre familles.
• Consentement écrit documenté. La collecte biométrique exige une action de consentement enregistrée qui capture la finalité, la conservation, l'adresse IP, l'agent utilisateur et l'horodatage avant que des photos faciales puissent être téléversées.
• Suppression indépendante. Les utilisateurs peuvent supprimer les données biométriques sans supprimer les photos sous-jacentes.
• Limites de conservation. Les données biométriques sont détruites conformément aux délais prévus dans notre Politique de conservation et de destruction des données.
• Aucune vente. Nous ne vendons, ne louons, n'échangeons ni ne tirons profit des données biométriques d'aucune autre façon.

11. Réponse aux incidents

Nous maintenons un processus documenté de réponse aux incidents pour les événements pouvant compromettre la confidentialité, l'intégrité ou la disponibilité des renseignements personnels. Le processus couvre :

• Détection et signalement. Les membres du personnel sont tenus de signaler sans délai les incidents présumés à security@kaiary.ai.
• Triage. Le coordinateur de sécurité désigné évalue la portée, la gravité et les catégories de données visées.
• Confinement et remédiation. La direction du génie exécute les étapes de confinement, préserve les preuves et corrige la cause sous-jacente.
• Notification. Lorsque la loi ou un contrat l'exige, nous notifions les utilisateurs touchés, les autorités de réglementation et les partenaires dans les délais applicables — y compris la norme de notification de 72 heures du RGPD, les statuts état-uniens de notification de bris, les exigences contractuelles avec nos fournisseurs d'infrastructure, ainsi que les obligations de notification à la Commission d'accès à l'information du Québec en vertu de la Loi 25.
• Révision post-incident. Les incidents importants font l'objet d'une révision écrite identifiant la cause profonde, les facteurs contributifs et les mesures correctives.

12. Continuité des activités et sauvegardes

Le contenu familial et l'état de la base de données sont sauvegardés selon un calendrier de routine, les sauvegardes étant chiffrées au repos et stockées dans des installations géographiquement distinctes exploitées par nos fournisseurs d'infrastructure. Les sauvegardes sont conservées selon les délais prévus dans notre Politique de conservation et de destruction des données et sont testées périodiquement pour confirmer leur restaurabilité. Lorsqu'un utilisateur supprime des données, nous propageons cette suppression à travers les systèmes actifs immédiatement et appliquons le calendrier de rotation des sauvegardes documenté afin que les données soient purgées de toutes les copies conservées.

13. Révision et mise à jour de la politique

Le présent Programme est révisé au moins une fois par an et mis à jour lors de tout changement important à nos activités de traitement, à notre infrastructure, à nos relations avec les fournisseurs ou aux lois applicables. La date de « Dernière mise à jour » en haut de ce document reflète la révision la plus récente. Les changements importants sont résumés dans notre Politique de confidentialité et peuvent être communiqués aux utilisateurs par l'application ou par courriel.

14. Nous joindre

Pour toute question sur le présent Programme ou pour signaler un problème de sécurité présumé, communiquez avec :

Le présent document est le résumé accessible au public du Programme écrit de sécurité de l'information de Renji Labs. Les procédures internes, les conceptions de systèmes et les guides opérationnels comportent des détails supplémentaires qui ne sont pas divulgués publiquement pour des raisons de sécurité.