# Moelleux — Documentation technique complete

> Conformite Loi 25 automatisee pour les PME quebecoises.

Moelleux est un SaaS developpe par Horizon-Cumulus (9322-8310 Québec inc.) (Joliette, Quebec) qui permet aux PME de se conformer a la Loi 25 du Quebec en moins de 5 minutes.

## Fonctionnalites detaillees

### Scan automatique
- Detection des cookies (first-party et third-party) via Browsershot + Playwright
- Identification des scripts tiers (Google Analytics, Meta Pixel, HubSpot, etc.)
- Detection du CMS (WordPress, Shopify, etc.)
- Detection de bannieres de consentement existantes
- Resultat en 15 secondes

### Questionnaire Loi 25
- 10 questions essentielles sur l'entreprise
- Pre-remplissage intelligent base sur les resultats du scan
- Secteurs d'activite, types de collecte, tiers impliques
- Responsable de la protection des renseignements personnels

### Generation de politique par IA
- Utilise Claude par Anthropic (Haiku pour classification, Sonnet pour generation)
- 9 sections obligatoires selon la Loi 25 du Quebec
- Pre-filtrage PHP obligatoire pour reduire les tokens (75-90% de reduction)
- Versionnage automatique des politiques
- Hash du prompt pour tracabilite

### Banniere de consentement
- Script embed < 5 KB, ES6 natif, zero dependance
- Servi via BunnyCDN (cdn.moelleux.ca), cache 24h
- Installation en une ligne: <script src="cdn.moelleux.ca/c/{site_key}.js"></script>
- Themes: light, dark, auto (suit prefers-color-scheme)
- Positions: bottom-left, bottom-right, bottom-center
- Categories: essentiels (toujours actifs), analytique, marketing, preferences
- Cookie signe cote client: moelleux_{site_key}, duree 13 mois
- Conformite WCAG 2.1 AA (focus trap, aria-labels, role="dialog")

### Tableau de bord
- Statistiques de consentement quotidiennes agreges
- Taux d'acceptation par categorie
- Export audit pour la Commission d'acces a l'information (CAI)

### Plugin WordPress
- Installation simplifiee
- Integration native avec le scanner

## Architecture technique

### Infrastructure
- Hebergement: OVH Beauharnois, Quebec (residence des donnees obligatoire)
- Base de donnees: MySQL 8
- Cache / Queues: Redis
- CDN: BunnyCDN (pull zone)

### Stack
- Backend: Laravel 13
- Interface admin: Filament 5 + Livewire
- Front interactif: Livewire + Alpine.js
- Script embed: JavaScript Vanilla ES6
- PDF: DomPDF + pdftk
- Scanner headless: Browsershot + Playwright
- Stockage logs: Wasabi S3 (ca-central-1)

### Sous-domaines
- moelleux.ca: Interface publique + dashboard client
- api.moelleux.ca: API interne (rate-limited, JSON only)
- cdn.moelleux.ca: Scripts embed via BunnyCDN
- moelleux.ca/admin: Back-office Filament 5
- moelleux.ca/p/{key}: Politique publique sans auth

### Queues nommees
- high: generation politique, provision
- default: statistiques
- low: archivage S3

### Securite
- Validation stricte sur toutes les entrees
- Anonymisation IP: suppression dernier octet IPv4
- JWT HS256 pour SSO WHMCS (5 min max)
- Rate limiting sur endpoints publics
- Headers securite: CSP, X-Frame-Options, HSTS
- Aucune cle API en dur

## Plans et tarification

| Plan | Canal | Prix |
|------|-------|------|
| Essentiel | Stripe self-serve | 25$/an |
| Professionnel | Stripe self-serve | 45$/an |
| Bronze | WHMCS addon Moneris | 10$/an |
| Argent/Or | Inclus forfait HCU | inclus |
| Agence heberge HCU | WHMCS | 7.50$/an |
| Agence externe | WHMCS | 12.50$/an |

## Loi 25 du Quebec

La Loi 25 (anciennement projet de loi 64) modernise la protection des renseignements personnels au Quebec. Entree en vigueur progressive depuis septembre 2022, pleinement applicable depuis septembre 2024. Elle impose aux entreprises:

- Politique de confidentialite accessible et detaillee
- Consentement explicite pour la collecte de renseignements personnels
- Responsable de la protection des renseignements personnels designe
- Evaluation des facteurs relatifs a la vie privee (EFVP)
- Notification obligatoire en cas d'incident

## Integration (documentation integrateur)

Documentation publique complete: https://moelleux.ca/docs
(pages: /docs/installation, /docs/wordpress, /docs/api, /docs/ia).

### Installation de l'embed
Une seule ligne, idealement avant </head> :
<script src="https://cdn.moelleux.ca/c/{site_key}.js" async></script>
- {site_key}: UUID du site (visible dans le tableau de bord, section Banniere ; meme cle que /p/{site_key}).
- async: ne bloque jamais le rendu de la page.

### Gating des scripts tiers
Pour charger un script seulement apres consentement, ajouter l'attribut data-consent avec la categorie :
<script src="..." data-consent="analytics"></script>
- Categories: analytics, marketing, functional, preferences. La categorie essential est toujours active.
- Mecanisme: le <script> passe en type="text/plain" tant que le consentement n'est pas donne, puis est reactive automatiquement.
- Google Consent Mode v2 est gere nativement (signaux gtag mis a jour automatiquement) ; ne pas le cabler manuellement.

### API JavaScript (window.Moelleux)
Garde-fou obligatoire (l'embed est asynchrone) :
window.MoelleuxOnReady = window.MoelleuxOnReady || [];
window.MoelleuxOnReady.push(function (M) { /* M === window.Moelleux */ });
Ou Moelleux.ready(cb) une fois charge.

Surface complete:
- version : version de l'embed (string).
- ready(cb) : appelle cb(Moelleux) des que pret.
- getConsent() : {choices, policyVersion, consentId, timestamp} ou null.
- hasConsent(category) : true/false (analytics, marketing, functional, preferences, essential).
- acceptAll() / rejectAll() : tout accepter / refuser (categories requises restent actives).
- setConsent({analytics:true, marketing:false}) : plusieurs categories d'un coup (cles inconnues ignorees).
- acceptCategory(cat) / denyCategory(cat) : une seule categorie.
- openPreferences() : ouvre la modale de preferences.
- reset() : efface le consentement.
- on(event, cb) : abonnement bus (consent.given, consent.changed, consent.reset, language.changed) ; retourne une fonction de desabonnement.
- getLanguage() / setLanguage('fr'|'en') : lit / change la langue de l'UI.
- getJurisdiction() : juridiction servie (ex. qc-loi25). LECTURE SEULE — pour changer, charger cdn.moelleux.ca/c/{site_key}-{juridiction}.js.
- showBadge() / hideBadge() : affiche / masque la pastille flottante (#mx-float).

### Evenement DOM
A chaque consentement donne/modifie, un CustomEvent est emis sur document :
document.addEventListener('moelleux:consent', function (e) {
  // e.detail = {choices, consentId, policyVersion, timestamp}
});

### Classes CSS (option cssClasses)
Sur <html> : mx-consent-{cat} (accorde) / mx-consent-no-{cat} (refuse) + mx-consent-ready, posees des l'init pour eviter tout flash.

### Recettes
Quatre recettes copier-coller (activer une categorie, enregistrer vers un back-end via l'evenement, conditionner du code personnalise, afficher/masquer par CSS) sont documentees sur https://moelleux.ca/docs/api.

### Integration WordPress
Extension officielle Moelleux (le client mince charge l'embed et affiche la politique ; toute la logique reste cote service).
- Installation: depuis WordPress.org (a venir) ou manuelle (zip dans wp-content/plugins/).
- Cle de site: collee dans Reglages > Moelleux, OU definie via la constante PHP / variable d'environnement MOELLEUX_WP_SITE_KEY (wp-config.php ; champ admin en lecture seule quand cette source est presente).
- Banniere: automatique des qu'une cle valide est enregistree.
- Politique: shortcode [moelleux_policy] (attributs jurisdiction = qc-loi25|ca-pipeda|us-ccpa|eu-gdpr|world, defaut qc-loi25 ; lang = fr|en, auto-detecte Polylang/WPML/langue du site), bloc Gutenberg « Politique Moelleux », ou widget Elementor. La politique est recuperee depuis le fragment CDN JSON cdn.moelleux.ca/p/{cle}/{juridiction}/{langue}/fragment.
- Bouton de preferences: shortcode [moelleux_manage] (appelle window.Moelleux.openPreferences()).
- WP Consent API: si l'extension WP Consent API est active, Moelleux relaie le consentement (wp_set_consent) — Site Kit, WooCommerce, etc. respectent automatiquement les choix, y compris cote serveur.
- Compatibilite: exclusions cache/optimisation (WP Rocket, LiteSpeed, Autoptimize, SG Optimizer), detection des CMP concurrents et des plugins Google, WP-CLI (wp moelleux), Site Health. WordPress 6.2+, PHP 7.4+.
- Detail: https://moelleux.ca/docs/wordpress.

## Contact

- Site: https://moelleux.ca
- Operateur: Horizon-Cumulus (9322-8310 Québec inc.)
- Portail client: https://ca.horizon-cumulus.com
- Localisation: Joliette, Quebec, Canada