Déclaration de confidentialité
Dernière mise à jour : 9 mai 2026
La présente déclaration explique quelles données personnelles sont collectées, pourquoi, où elles sont stockées, avec qui elles sont éventuellement partagées, et quels sont vos droits lorsque vous utilisez le site aerosim.ca et ses outils (CDU, Log Analyzer, Earth Airports, FlightDeck).
1. Identité du responsable du traitement
- Éditeur : AeroSim — personne physique exerçant sous ce nom au Québec, Canada.
- Responsable de la protection des renseignements personnels (DPO) : joignable à [email protected]. C'est également le point de contact pour toute demande relative à la présente déclaration et à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (Loi 25).
- Hébergement : Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Allemagne (UE).
- CDN / WAF : Cloudflare, Inc. (États-Unis et points de présence mondiaux).
2. Principes
- Nous ne vendons jamais vos données personnelles.
- Nous ne diffusons aucune publicité et n'utilisons aucun cookie publicitaire ni traceur tiers.
- Nous appliquons un principe de minimisation : seules les données strictement nécessaires au fonctionnement des outils sont collectées.
- Les clés d'API tierces que vous fournissez (Cesium Ion, FlightPlanDatabase, NVIDIA NIM) sont chiffrées avant stockage (AES-GCM 256 bits, clé maître hors base de données).
3. Données collectées à l'inscription
À la création d'un compte sur /auth/register.php, nous collectons :
| Donnée | Obligatoire | Finalité |
|---|---|---|
| Adresse e-mail | Oui | Identifiant de connexion, communication de service, réinitialisation de mot de passe |
| Nom d'affichage | Non | Personnalisation de l'interface |
| Mot de passe | Oui | Stocké uniquement sous forme de hachage (jamais en clair) |
| Validation Cloudflare Turnstile | Oui | Lutte contre les inscriptions automatisées (captcha) |
| Date de création / dernière connexion | Auto | Sécurité et audit |
Communications optionnelles. Depuis votre profil utilisateur, vous pouvez à tout moment activer ou désactiver :
- la réception d'e-mails d'information (annonces produit, nouveautés, mises à jour majeures) ;
- la participation à des tests de solutions logicielles développées par AeroSim (programme bêta, sollicitation à participer à des essais ciblés).
Ces deux options sont désactivées par défaut. Aucun e-mail commercial ne vous sera envoyé sans votre activation explicite, conformément à la Loi canadienne anti-pourriel (LCAP/CASL). Vous pouvez retirer votre consentement à tout moment depuis votre profil ou en répondant à n'importe quel e-mail concerné.
Cookie de session : un cookie AEROSIM_SID (HttpOnly, Secure, SameSite=Lax) est déposé après authentification pour maintenir la session. Il ne contient aucun identifiant publicitaire.
4. Données collectées par chaque outil
4.1. AeroSim CDU
Le CDU est un panneau d'avionique qui communique directement entre votre navigateur et votre installation locale de X-Plane 12. Les données suivantes restent stockées en base sur aerosim.ca :
- Layouts utilisateur (
user_layouts) : préférences de placement et de configuration des écrans CDU. - Bridge token (
users.bridge_token) : jeton à durée de vie limitée permettant au plugin X-Plane FlightDeck-Bridge de s'authentifier.
Les valeurs en temps réel des datarefs X-Plane (position, vitesse, etc.) ne sont jamais transmises ni stockées sur nos serveurs — elles transitent uniquement entre votre navigateur et votre machine locale (localhost:8086).
4.2. Earth Airports
- Whitelist d'accès (
user_app_access) : indication que votre compte a accès à l'application. - Jetons API utilisateur (
user_tokens, chiffrés AES-GCM) : token Cesium Ion et clé API FlightPlanDatabase, saisis par vous dans Settings ⚙. - Plan de vol courant : conservé exclusivement dans le
localStoragede votre navigateur (départ, arrivée, mode). Aucune copie serveur.
Les données de vol en temps réel (altitude, cap, vitesse) lues depuis X-Plane sont consommées uniquement par votre navigateur et ne sont ni journalisées ni transmises à aerosim.ca.
4.3. AeroSim Log Analyzer
L'analyseur prend en entrée le fichier Log.txt de X-Plane que vous téléversez (limite 20 Mo). Pour chaque analyse, sont stockés en base :
| Donnée | Source | Sensibilité |
|---|---|---|
| Hash SHA-256 du log | calculé serveur | dédup. uniquement |
| Nom du fichier original | upload | faible |
| Version X-Plane, OS, CPU, GPU, API graphique, RAM, VRAM | extrait du log | technique |
| Rapport structuré (JSON) | analyse | technique |
| Niveau de risque, score de confiance | calculé | technique |
| Résumé et recommandations IA, modèle LLM utilisé | optionnel | textuel |
| Adresse e-mail (chiffrée) et son hash | compte | identité |
| Clé API NVIDIA NIM (chiffrée AES-GCM) | saisie utilisateur | secret |
| Acceptation de l'avertissement IA + version | obligation légale | conformité |
Décision automatisée et IA générative : le contenu textuel de votre Log.txt peut être envoyé à NVIDIA NIM (api.nvidia.com) à des fins d'explication par intelligence artificielle, uniquement si vous avez configuré votre propre clé API NIM et accepté l'avertissement IA. La requête est facturée sur votre clé. Conformément à l'article 12.1 de la Loi 25, vous êtes informé(e) qu'il s'agit d'un traitement automatisé ; les recommandations produites ne se substituent pas à un avis humain et vous pouvez nous demander à tout moment des explications complémentaires.
4.4. FlightDeck
- Bridge token partagé avec le CDU (ci-dessus).
- Les flux WebSocket entre X-Plane (plugin local) et votre navigateur transitent par notre serveur de relais (
/flightdeck/ws), mais aucun contenu de session n'est journalisé persistemment — seuls les journaux nginx techniques (cf. §6) en gardent une trace courte.
5. Services tiers contactés
L'utilisation des outils peut entraîner des appels à des services tiers, parfois directement depuis votre navigateur, parfois relayés par notre serveur. Chacun de ces tiers a sa propre politique de confidentialité.
| Service | Donnée transmise | Initiateur |
|---|---|---|
| Cloudflare (CDN/WAF/Turnstile) | IP, en-têtes HTTP, défi captcha | Tous les visiteurs |
| Cesium Ion / Bing Maps / Google Photorealistic 3D Tiles | IP, coordonnées de tuiles consultées | Navigateur, via votre token Cesium |
| NASA GIBS, RainViewer | IP, coordonnées de tuiles | Navigateur (overlays météo) |
| X-Plane Scenery Gateway | Code OACI consulté | Serveur aerosim.ca (proxy) |
| AviationWeather.gov (NOAA) | Code OACI pour METAR/TAF | Serveur aerosim.ca (proxy) |
| FlightPlanDatabase | Codes OACI départ/arrivée, votre clé API | Serveur (POST) ou navigateur (GET) selon le cas |
| NVIDIA NIM | Extraits de votre Log.txt, votre clé NIM | Serveur aerosim.ca (Log Analyzer) |
| OpenStreetMap Nominatim | Termes de recherche d'aéroport | Navigateur |
6. Cookies et stockage local
aerosim.ca utilise uniquement des cookies strictement nécessaires au fonctionnement du service :
AEROSIM_SID— cookie de session (HttpOnly, Secure, SameSite=Lax) ;__cf_bm,cf_clearance— cookies Cloudflare destinés à la sécurité et à la protection contre les bots.
Aucun cookie publicitaire, aucun pixel tiers, aucun outil d'analyse comportementale (type Google Analytics, Facebook Pixel, etc.) n'est déployé.
Conformément aux exigences applicables au Québec, en Europe et au Canada, un bandeau de consentement aux cookies s'affiche lors de votre première visite. Les cookies strictement nécessaires sont activés sans consentement préalable (ils sont indispensables au fonctionnement du service) ; tout cookie non essentiel ajouté ultérieurement requerra votre consentement explicite.
aerosim.ca utilise également le localStorage côté navigateur pour conserver vos préférences d'interface, votre plan de vol Earth Airports (earthAirports.flightPlan) et vos layouts CDU. Ces données ne quittent jamais votre navigateur.
7. Journaux techniques
Le serveur web (nginx) conserve des journaux d'accès et d'erreur incluant : adresse IP, horodatage, URL demandée, code HTTP, agent utilisateur. Ces journaux sont utilisés à des fins de sécurité, de diagnostic et de prévention des abus, et sont conservés aussi longtemps que nécessaire à ces finalités, après quoi ils sont effacés ou anonymisés.
8. Sécurité
- Chiffrement en transit : HTTPS (TLS 1.2+) sur l'ensemble du site, certificat Let's Encrypt.
- Chiffrement au repos des secrets sensibles (tokens API tiers, clés NIM, e-mails dans Log Analyzer) via AES-GCM 256 bits ; la clé maître réside dans
/etc/aerosim/earth-airports.envavec permissions restreintes et n'est jamais commitée dans le code source. - Mots de passe : hachés (jamais stockés en clair).
- Cookies de session :
HttpOnly,Secure,SameSite=Lax. - Pare-feu applicatif Cloudflare en amont.
- Sauvegardes chiffrées hors-site selon les règles internes du projet.
Aucun système n'est totalement à l'abri d'une intrusion ; en cas d'incident de confidentialité affectant vos renseignements personnels, vous serez avisé(e) sans délai indu, conformément à l'article 3.5 de la Loi 25 du Québec.
9. Durées de conservation
Vos données sont conservées aussi longtemps que nécessaire aux finalités décrites dans la présente déclaration, et sont ensuite supprimées ou anonymisées. À titre indicatif :
| Donnée | Conservation |
|---|---|
| Compte utilisateur (e-mail, mot de passe haché, profil) | Tant que le compte est actif |
| Préférences de communication (e-mails d'info, programme bêta) | Tant que vous ne les modifiez pas |
Session active (AEROSIM_SID) | Jusqu'à expiration ou déconnexion |
| Layouts CDU, plans de vol locaux (localStorage) | Jusqu'à effacement par l'utilisateur |
| Rapports d'analyse Log Analyzer | Tant que le compte est actif et que les rapports vous sont utiles |
| Tokens API utilisateur (Cesium / FPD / NIM) chiffrés | Jusqu'à révocation par l'utilisateur dans Settings |
| Journaux nginx | Tant que nécessaire à la sécurité, puis purge |
À la suppression d'un compte, les données associées (rapports, jetons, layouts) sont supprimées par cascade dans un délai maximum de 30 jours, à l'exception des éléments que la loi nous impose de conserver.
10. Vos droits
Conformément à la Loi 25 (Québec), à la LPRPDE (Canada) et, le cas échéant, au RGPD (UE), vous disposez des droits suivants :
- Droit d'accès à vos données personnelles ;
- Droit de rectification des données inexactes ou incomplètes ;
- Droit à l'effacement (« droit à l'oubli ») de votre compte et des données associées ;
- Droit à la portabilité de vos données dans un format technologique structuré et couramment utilisé ;
- Droit à la cessation de la diffusion ou à la désindexation (article 28.1 de la Loi 25) ;
- Droit d'opposition à un traitement ;
- Droit de retirer votre consentement à tout moment (notamment pour les fonctions IA du Log Analyzer et pour les e-mails d'information / programme bêta) ;
- Droit d'être informé(e) de tout traitement automatisé ayant un effet sur vous (cf. §4.3) ;
- Droit de déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI) ou de toute autre autorité compétente.
Pour exercer ces droits, écrivez à [email protected] depuis l'adresse e-mail associée à votre compte. Une réponse vous sera apportée dans un délai maximum de 30 jours.
11. Transferts hors Québec
Vos données sont stockées en Allemagne (Hetzner). Cloudflare opère un réseau mondial et le trafic peut transiter par des points de présence hors Québec et hors UE. Les services tiers énumérés au §5 sont opérés depuis divers pays (principalement États-Unis pour Cesium Ion, NVIDIA, NOAA, FPD ; international pour Cloudflare).
Conformément à l'article 17 de la Loi 25, AeroSim a évalué que ces transferts offrent une protection adéquate des renseignements personnels, notamment grâce :
- au chiffrement systématique en transit (TLS) et au chiffrement des données sensibles au repos ;
- à la minimisation des données envoyées à chaque tiers ;
- au choix de prestataires soumis à des cadres reconnus (RGPD pour Hetzner et Cloudflare-EU, contrats commerciaux pour les services US).
En utilisant les outils, vous consentez à ces transferts.
12. Mineurs
Les services aerosim.ca ne sont pas destinés aux personnes de moins de 14 ans (seuil applicable au Québec pour le consentement autonome). Nous ne collectons pas sciemment de données concernant des mineurs de moins de 14 ans. Si vous pensez qu'un compte appartient à un tel mineur, contactez-nous afin que nous procédions à sa suppression.
13. Modifications de cette déclaration
Cette déclaration peut évoluer. Toute modification substantielle sera annoncée sur la page d'accueil et/ou par e-mail. La date en haut de cette page reflète la dernière révision.
14. Contact
Pour toute question relative à la confidentialité, pour exercer vos droits ou pour adresser une plainte au DPO :