FAQ — Questions fréquentes

Cette FAQ couvre les questions courantes sur Popote. Si tu cherches comment utiliser une fonctionnalité spécifique, va plutôt voir les guides utilisateur (bénévole, coordo, admin). Les questions juridiques détaillées sont dans la politique de confidentialité.

À propos de Popote

C'est quoi Popote ?

Popote est un logiciel de gestion pour les organismes sans but lucratif (OBNL) qui opèrent des services de popotes roulantes au Québec. C'est un logiciel propriétaire (tous droits réservés), diffusé en service hébergé (SaaS) au Québec, par abonnement.

Il couvre :

Base de données bénéficiaires (avec allergies, diètes, consentements)
Gestion des bénévoles (disponibilités, formations)
Planification de routes (optimisation OSRM/VROOM, feuille de route papier ou PWA mobile)
Facturation, reçus fiscaux ARC/RQ, exports comptable
Conformité Loi 25 complète (demandes d'accès, registre incidents, audit)
Console super-admin pour la coordination de plusieurs popotes

Qui est derrière Popote ?

Marc-Antoine Lemire, développeur basé au Québec, conçoit et maintient Popote. Le produit est entretenu dans la durée, soutenu par les abonnements des organismes qui l'utilisent.

Combien ça coûte ?

Popote est offert en service hébergé (SaaS) par abonnement mensuel à prix communautaire. Le modèle est pensé pour les OBNL : juste de quoi couvrir l'hébergement et maintenir le produit vivant, soutenu et entretenu dans la durée, sans visée de profit.

L'abonnement inclut :

L'hébergement au Québec (serveur, base de données, courriel)
Les mises à jour et l'entretien continu du produit
Le support lié au service

L'objectif est de rester abordable pour les petites popotes. Pour connaître les modalités d'abonnement, écris à info@malemire.ca.

Sécurité et vie privée

Mes données sont stockées où ?

Préprod et prod : Fly.io, région YUL (Beauharnois, Québec) — vos données vivent physiquement au Québec. Fly.io Inc. étant une société américaine (Delaware), cela constitue une communication hors Québec au sens de l'art. 17 de la Loi 25 — nous l'assumons explicitement : elle est documentée dans une évaluation des facteurs relatifs à la vie privée (EFVP) et mitigée par un chiffrement applicatif (fichiers et secrets chiffrés côté Popote, inutilisables même sous contrainte juridique), une entente de traitement (DPA) signée, et la présente mention. Sauvegardes hors-site chiffrées. Détails au registre des sous-traitants.

Aucun service de profilage ou d'analyse tiers (Google Analytics, Meta, Sentry, etc.) n'est utilisé. Les polices de caractères du site public sont auto-hébergées (aucune fonte chargée depuis Google Fonts). Voir l'engagement dans la politique de gouvernance.

Loi 25, vous êtes conformes ?

Oui. Popote a été conçu dès l'origine pour respecter la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, Québec, 2021). Les points clés couverts :

Art. 3.2 — Gouvernance + responsable PRP désigné
Art. 3.5 — Registre des incidents + obligation 72 h CAI
Art. 8 / 8.2 — Avis de collecte + politique versionnée publique
Art. 9.1 — Confidentialité par défaut, accès restreint
Art. 12.1 — Pas de décisions exclusivement automatisées (engagement détaillé)
Art. 14 — Consentements granulaires (marketing, analytics, profilage routing… tous opt-in)
Art. 17 — Engagement de non-transfert international des RP
Art. 18.3 — Registre public des sous-traitants
Art. 27 / 28 / 35 — Droits d'accès, rectification, suppression
Art. 32 / 34 — SLA 30 jours pour répondre aux demandes
Art. 70 / 71 — Rétention + anonymisation

Vous chiffrez tout ?

Mots de passe : Argon2id avec sel unique par utilisateur
Données en BD : une base PostgreSQL distincte par organisme (isolation Silo), sur volume chiffré au repos ; les secrets sensibles (identifiants de base, secrets 2FA, clés d'upload) sont chiffrés applicativement avec libsodium, la clé restant hors de la base
Communications : TLS 1.3 obligatoire (Let's Encrypt)
PWA mobile (offline) : IndexedDB chiffré AES-GCM 256 bits, clé dérivée du mot de passe (PBKDF2 200 000 itérations), jamais persistée — uniquement en mémoire de la session

Vous utilisez Google Analytics ?

Non. Aucun tracker tiers, aucune fonte chargée depuis Google Fonts en production (les fonts sont auto-hébergées). Aucun cookie de suivi. Aucun pixel Facebook / LinkedIn / Twitter.

Le site www.popoteapp.ca est statique (Leaf) — pas même de backend PHP en runtime. La PWA mobile et la console admin ne font de requêtes qu'au backend Popote.

Mes bénévoles peuvent-ils se connecter avec Face ID ?

Non. La connexion à la PWA bénévole se fait par courriel et mot de passe. La session reste active 30 jours sur l'appareil : en pratique, le bénévole ne tape son mot de passe qu'une fois par mois.

(Une connexion biométrique WebAuthn a existé brièvement en mai-juin 2026 puis a été retirée pour simplifier l'app.)

Déploiement et opérations

Quels prérequis techniques ?

PHP 8.4+ avec extensions intl, mbstring, sodium, pdo, gd, redis
PostgreSQL 16+ (locale fr-CA ICU)
Redis 7+ (sessions + cache)
Docker + Docker Compose recommandé pour le déploiement
Node.js 20+ pour le build de la PWA et du site vitrine

Voir la documentation technique (à venir) pour les détails complets.

Multi-tenant, c'est-à-dire ?

Popote est multi-tenant Silo PostgreSQL : chaque organisme client (chaque popote) a sa propre base de données complètement isolée. Pas de partage de données entre organismes. C'est plus coûteux qu'un schéma partagé mais c'est la seule façon de garantir l'isolation Loi 25 stricte (pas de fuite cross-tenant possible même avec un bug SQL).

Vous offrez un hébergement clé en main ?

Oui. Popote est offert exclusivement en service hébergé (SaaS) au Québec : l'organisme n'a rien à installer ni à maintenir. Tout est géré par Popote dans le cadre de l'abonnement à prix communautaire — hébergement canadien, mises à jour et sauvegardes inclus.

Participer

Comment puis-je aider Popote ?

Tests utilisateurs — si tu opères une popote roulante, on est intéressés à t'inscrire au programme pilote.
Retours et idées — tes besoins terrain orientent les priorités du produit. Écris-nous à info@malemire.ca.
Faire connaître — parle de Popote aux autres popotes roulantes du Québec : plus d'organismes abonnés, c'est un produit qui reste soutenu et vivant dans la durée.

Le code source de Popote est-il accessible ou réutilisable ?

Non. Popote est un logiciel propriétaire (tous droits réservés, © 2026 Marc-Antoine Lemire), diffusé uniquement en service hébergé (SaaS) par abonnement mensuel à prix communautaire. Aucun droit de copie, de modification ou de redistribution n'est accordé. Ce choix vise la pérennité du produit : un abonnement modeste finance l'hébergement et l'entretien continu, pour qu'un outil communautaire ne meure pas faute de ressources.

Contact

Courriel général : info@malemire.ca
Confidentialité / Loi 25 (PRP) : privacy@malemire.ca
Support technique : support@malemire.ca

Merci de t'intéresser à Popote ! 🌿

#À propos de Popote

#C'est quoi Popote ?

#Qui est derrière Popote ?

#Combien ça coûte ?

#Sécurité et vie privée

#Mes données sont stockées où ?

#Loi 25, vous êtes conformes ?

#Vous chiffrez tout ?

#Vous utilisez Google Analytics ?

#Mes bénévoles peuvent-ils se connecter avec Face ID ?

#Déploiement et opérations

#Quels prérequis techniques ?

#Multi-tenant, c'est-à-dire ?

#Vous offrez un hébergement clé en main ?

#Participer

#Comment puis-je aider Popote ?

#Le code source de Popote est-il accessible ou réutilisable ?

#Contact