À qui ce guide s'adresse. Tu es administrateur dans une popote roulante — souvent le directeur général ou le responsable bénévolat. Tu as les droits les plus étendus dans Popote pour ton organisme : créer des comptes coordo, configurer les paramètres, répondre aux audits Loi 25, exporter les données comptables.
1. Différence entre rôles
| Rôle | Peut voir | Peut modifier |
|---|---|---|
| Bénévole | Sa route assignée, ses arrêts, sa disponibilité | Son profil, son consentement géoloc, ses livraisons |
| Coordo | Tous les bénéficiaires + bénévoles, planification | Routes, fiches bénéficiaires, factures |
| Trésorier | Facturation + reçus + exports | Facturation seulement |
| Admin (toi) | Tout ce qui précède + utilisateurs + paramètres | Tout + créer/désactiver comptes |
Note. Le rôle Admin n'inclut PAS les RP des autres organismes — chaque popote a sa BD séparée (isolation tenant Silo). Seul le super-admin Popote (équipe technique de la plateforme) a accès cross-tenant, et seulement avec impersonation justifiée
- auditée.
2. Créer un compte coordo ou bénévole
Menu Administration → Utilisateurs → « Nouveau ». Saisis :
- Prénom, nom, courriel
- Rôle (bénévole, coordo, trésorier, ou admin)
- Téléphone (facultatif mais utile pour le tap-to-call)
Touche Créer. Popote envoie un courriel d'invitation avec un lien de première connexion valide 7 jours. L'utilisateur clique, choisit son mot de passe, configure 2FA s'il a un rôle privilégié.
Désactivation
Pour un bénévole qui part : touche la ligne dans la liste Utilisateurs, puis « Désactiver le compte ». L'utilisateur ne peut plus se connecter, mais l'historique de ses livraisons reste intact (audit + reçus fiscaux passés).
Pour supprimer définitivement : suppression possible 90 jours après désactivation (anonymisation des RP, préservation de l'audit_log sans PII).
3. Paramètres de l'organisme
Menu Administration → Paramètres :
- Identité — nom légal, NEQ, numéro de bienfaisance ARC/RQ
- Adresses — siège social + HQ (point de départ des routes)
- Branding — logo, couleur d'accent (utilisée dans la PWA bénévole + factures + reçus)
- Coordonnées — courriel public (pour formulaires de contact), téléphone principal
- Avis de collecte Loi 25 — texte affiché lors de l'inscription d'un bénéficiaire (le défaut couvre les usages standards d'une popote roulante, mais tu peux personnaliser pour mentionner des partenaires locaux)
Politique de confidentialité
Ta politique de confidentialité officielle est publiée sur
www.popoteapp.ca/politique/courante. Quand la version est mise
à jour (versionnée + sha256 signé), tous tes utilisateurs
(bénévoles + coordos) voient une bannière d'acquittement
obligatoire au prochain login. Tu peux suivre les acquittements via
les rapports ci-dessous.
4. Conformité Loi 25 — tes obligations
Rapport annuel CAI (art. 3.5)
Chaque année, tu dois produire un registre des incidents que Popote tient automatiquement à jour :
- Menu Administration → Conformité → Incidents
- Bouton « Export rapport annuel » génère un PDF prêt pour archivage et audit CAI
Si un incident est qualifié critique ou élevé, Popote te signale automatiquement le délai 72 h pour notifier la CAI (Commission d'accès à l'information du Québec).
Demandes d'accès / rectification / suppression
Menu Demandes Loi 25 affiche toutes les demandes reçues, avec un SLA 30 jours (alerte à J-15 et J-25). Pour chaque demande, tu dois enregistrer ta réponse (acceptation / refus motivé / partielle). Tous les statuts sont auditables.
Registre des sous-traitants (art. 18.3)
Popote (la plateforme) tient le registre des sous-traitants publics
sur www.popoteapp.ca/politique/sous-traitants. Si TON
organisme utilise d'autres outils qui touchent les RP des
bénéficiaires (ex. : SMS via Twilio, comptable externe), tu dois
les documenter séparément. Un template est fourni en Annexe A du
guide de gouvernance.
5. Facturation et reçus fiscaux
Une fois par mois, Facturation → Générer factures crée une facture par bénéficiaire qui a reçu des repas dans le mois écoulé.
Une fois par an, en janvier, Facturation → Reçus annuels sort les PDFs ARC + RQ pour chaque bénéficiaire qui a donné le seuil minimum (configurable). Tu peux les envoyer par courriel automatique ou les imprimer.
Exports comptable : OFX (banque + compta), CSV (Excel), disponibles dans Facturation → Exports.
6. Sécurité — bonnes pratiques
- 2FA obligatoire pour ton compte admin + tous les coordos. Tu peux forcer 2FA pour TOUS les utilisateurs (option globale).
- Sessions — la déconnexion automatique se fait après 30 min d'inactivité.
- Mots de passe — minimum 12 caractères, complexité forcée. Le hash Argon2id est utilisé en BD.
- Audit log — toute action sensible (login, accès à une fiche, modification, suppression) est tracée. Menu Administration → Audit te laisse filtrer par utilisateur, action, date.
Si tu perds tes facteurs 2FA
Tu as 8 codes de récupération générés lors du setup 2FA. Garde-en au moins 1 dans un coffre-fort physique (gestionnaire de mot de passe en dehors de Popote). Si tu perds tout, contacte le super-admin Popote pour un reset manuel.
7. Aide
- Cette doc + guides : www.popoteapp.ca
- Doc technique (devs) : docs.popoteapp.ca (à venir)
- Courriel support :
support@malemire.ca - GitHub Issues : github.com/ma-lemire/popote/issues
Bonne gestion ! 🌱