Your data, plainly explained
Privacy Policy
RF Holdings Inc., operating as "Gardril" · Calgary, Alberta, Canada
Effective date: June 10, 2026
The short version
Gardril collects very little: your legal name, your email address, and a headshot photo for your certificate. That's it.
Our partners handle the sensitive parts. Asgard Authenticate performs biometric identity verification under its own terms and asks for your explicit consent before it runs. Stripe handles your payment — we never see your card number.
Everything stays in Canada. We chose Canadian data residency deliberately, because Canada's privacy laws are among the most protective anywhere.
Your certificate can last a lifetime. Training records are kept as long as you want them, and you can access, correct, download, or delete your data at any time.
We never sell your data. Ever.
1. Who we are
RF Holdings Inc., operating under the trade name "Gardril" ("Gardril", "we", "us"), is incorporated in Alberta, Canada, with its principal place of business in Calgary, Alberta, Canada. RF Holdings Inc. is the organization responsible for your personal information under United States and Canadian privacy law, and the "enterprise" in charge of it under Quebec's Law 25.
Privacy Officer: privacy@gardril.com
2. What Gardril collects
We collect only what we need to run your account and issue a certificate that proves you earned it:
| Data | Why we collect it |
|---|
| Legal first and last name | Printed on your certificate so it matches your government ID |
| Email address | Sign-in, receipts, and certificate delivery |
| Headshot photo | Shown on your certificate — like the photo on a driver's licence — so an employer can confirm it belongs to you |
Using the platform also creates records about you: your course progress and completions, your certificate, the pass/fail result of identity verification (never the biometric data itself), a log of the consents you give, and routine technical data such as IP address and timestamps.
Your headshot is ordinary personal data, not biometric data. Gardril only displays it and never runs facial recognition on it.
3. What our partners collect
Two trusted partners handle the sensitive data, under their own published terms:
Biometric identity verification
Asgard Authenticate
Asgard captures a live scan of your face, compares it to your government-issued ID, and monitors participation during your course to block fraud and automated cheating. Asgard asks for your own explicit, informed consent before verification begins. Gardril never collects, sees, or stores your biometric data — we receive only a pass/fail result.
How Asgard handles, stores, and retains biometric data is governed by the Asgard Authenticate Terms of Service & Data Use Agreement.
Payments
Stripe
Stripe processes your payment. Gardril receives a payment confirmation and the card brand / last four digits only — never your full card number. See the Stripe Privacy Policy.
4. Why your data lives in Canada
Canada, by choice
Your account, training records, certificates, and headshot photo are stored and processed in Canada, on infrastructure in Toronto. Biometric verification data handled by Asgard Authenticate is likewise stored in the Canadian region we have selected with Asgard.
This is deliberate. Canada's privacy framework — PIPEDA federally, and provincial laws like Quebec's Law 25 — is among the most protective in the world, and we treat that protection as part of what a Gardril certificate stands for.
Limited payment confirmations handled by Stripe may be processed in the United States under contractual safeguards.
Large enterprise, training organization and safety association clients choose what country and/or state/province they want to store and manage their data as part of custom set-up.
5. Why we use your data
- Run your account and deliver courses — necessary to provide the service you signed up for.
- Verify your identity and issue your certificate — with your consent; the biometric step itself runs under Asgard's separate explicit consent.
- Process payments — necessary to complete your purchase, with related tax and accounting obligations.
- Protect certificate integrity — fraud and bot prevention is the core of what makes a Gardril certificate trustworthy.
Consent is explicit, informed, and freely given. You may withdraw it at any time by emailing privacy@gardril.com, subject to records the law requires us to keep. Withdrawing consent never invalidates a certificate you have already earned.
6. How long we keep things
Training records and certificates are kept while your account is active and for as long as you choose to keep the credential — potentially for life, because a certificate is only useful if it lasts. You can request deletion at any time.
Your headshot can be removed on request without deleting the rest of your credential.
Verification results and consent logs are kept with the related training record as proof that verification and consent occurred.
Payment confirmations are retained as tax and accounting law requires, typically 6 years in Canada.
Account and technical data is deleted within 90 days of account closure, except records we must keep by law.
In some regulated sectors (mining, oil and gas, occupational health and safety), the law may require training records to be kept for a set period even after a deletion request (e.g., for a regulatory workplace fatality investigation). Where that applies, we will tell you before processing your request. For biometric data held by Asgard, we will direct your deletion request to Asgard, whose own retention and destruction practices are set out in its terms.
7. Your rights
Depending on where you live, you hold some or all of the following — and we honour the strongest set available to you:
- Access — a copy of the data we hold about you.
- Correction — fix inaccurate or incomplete data.
- Deletion — including your certificate and headshot; we comply except where the law requires retention.
- Portability — receive your data in a portable format.
- Withdraw consent — at any time.
- Object or restrict — to certain processing.
To exercise any right, email privacy@gardril.com. We respond within 30 days, after reasonable steps to verify your identity. Exercising your rights will never be held against you.
You may also complain to a regulator: the Office of the Privacy Commissioner of Canada, the Commission d'accès à l'information du Québec, the Information and Privacy Commissioner of Alberta or British Columbia, or your state Attorney General in the United States.
8. The laws this policy honours
This policy is written for learners in Canada and the United States. In Canada, that means PIPEDA, the Alberta and British Columbia PIPAs, and Quebec's Law 25, which sets strict rules for sensitive information such as biometrics. In the United States, it means the FTC Act's requirement that we honour the promises on this page, state consumer-privacy laws such as California's CCPA/CPRA, state biometric-privacy laws such as Illinois's BIPA — under which the biometric step is performed by Asgard with your explicit consent — and every state's breach-notification law. Where any law gives you a stronger right, the stronger protection applies.
This policy and the consent materials are made available in French for Quebec learners — Lire la politique en français.
9. Security and breach notification
We protect your data with encryption in transit and at rest, access controls, hashed passwords, audit logging of consent, and contractual security obligations on our partners. Gardril itself holds no biometric data.
If a breach occurs that puts you at risk, we will notify you and the appropriate regulators without unreasonable delay, as PIPEDA, Quebec Law 25, and applicable U.S. state laws require. We maintain a register of confidentiality incidents.
10. Age requirement
Gardril accounts are available only to learners aged 18 and older. We do not knowingly collect information from anyone under 18, and if we learn we have, we delete it promptly.
11. Cookies
We use only the cookies and local storage necessary to keep you signed in and operate the platform. Non-essential cookies are off by default and used only if you opt in.
12. Changes to this policy
If we make material changes — especially to how identity verification works — we will notify you, and where the change is material to biometric handling we will ask for your fresh consent rather than relying on notice alone. The version and effective date always appear at the top of this page.
13. Contact
Privacy Officer, RF Holdings Inc. (operating as Gardril)
privacy@gardril.com
Vos données, expliquées simplement
Politique de confidentialité
RF Holdings Inc., faisant affaire sous le nom « Gardril » · Calgary (Alberta), Canada
Date d'entrée en vigueur : 10 juin 2026
La version courte
Gardril recueille très peu de renseignements : votre nom légal, votre adresse courriel et une photo de type portrait pour votre certificat. C'est tout.
Nos partenaires s'occupent des données sensibles. Asgard Authenticate effectue la vérification biométrique de l'identité selon ses propres conditions et vous demande votre consentement explicite avant de procéder. Stripe traite votre paiement — nous ne voyons jamais votre numéro de carte.
Tout demeure au Canada. Nous avons délibérément choisi l'hébergement des données au Canada, parce que les lois canadiennes sur la protection des renseignements personnels comptent parmi les plus protectrices au monde.
Votre certificat peut durer toute une vie. Vos dossiers de formation sont conservés aussi longtemps que vous le souhaitez, et vous pouvez consulter, corriger, télécharger ou supprimer vos données en tout temps.
Nous ne vendons jamais vos données. Jamais.
1. Qui nous sommes
RF Holdings Inc., faisant affaire sous le nom « Gardril » (« Gardril », « nous »), est constituée en société sous le régime des lois de l'Alberta, au Canada, et a son principal établissement à Calgary (Alberta), au Canada. RF Holdings Inc. est l'organisation responsable de vos renseignements personnels en vertu des lois américaines et canadiennes sur la protection des renseignements personnels, et l'« entreprise » qui en a la charge au sens de la Loi 25 du Québec.
Responsable de la protection des renseignements personnels : privacy@gardril.com
2. Ce que Gardril recueille
Nous ne recueillons que ce qui est nécessaire pour gérer votre compte et délivrer un certificat qui prouve que vous l'avez mérité :
| Données | Pourquoi nous les recueillons |
|---|
| Prénom et nom légaux | Imprimés sur votre certificat afin de correspondre à votre pièce d'identité gouvernementale |
| Adresse courriel | Connexion, reçus et livraison du certificat |
| Photo (portrait) | Affichée sur votre certificat — comme la photo d'un permis de conduire — pour qu'un employeur puisse confirmer qu'il vous appartient |
L'utilisation de la plateforme crée aussi des dossiers à votre sujet : votre progression et vos réussites de cours, votre certificat, le résultat (réussite ou échec) de la vérification d'identité (jamais les données biométriques elles-mêmes), un registre des consentements que vous donnez, ainsi que des données techniques courantes comme l'adresse IP et les horodatages.
Votre photo est un renseignement personnel ordinaire, et non une donnée biométrique. Gardril ne fait que l'afficher et n'y applique jamais de reconnaissance faciale.
3. Ce que recueillent nos partenaires
Deux partenaires de confiance traitent les données sensibles, selon leurs propres conditions publiées :
Vérification biométrique de l'identité
Asgard Authenticate
Asgard capte une image en direct de votre visage, la compare à votre pièce d'identité gouvernementale et surveille votre participation pendant le cours afin de bloquer la fraude et la tricherie automatisée. Asgard vous demande son propre consentement explicite et éclairé avant le début de la vérification. Gardril ne recueille, ne voit ni ne conserve jamais vos données biométriques — nous ne recevons qu'un résultat de réussite ou d'échec.
La façon dont Asgard traite, stocke et conserve les données biométriques est régie par les conditions d'utilisation et l'entente d'utilisation des données d'Asgard Authenticate.
Paiements
Stripe
Stripe traite votre paiement. Gardril ne reçoit qu'une confirmation de paiement ainsi que la marque de la carte et les quatre derniers chiffres — jamais votre numéro de carte complet. Voir la politique de confidentialité de Stripe.
4. Pourquoi vos données demeurent au Canada
Le Canada, par choix
Votre compte, vos dossiers de formation, vos certificats et votre photo sont stockés et traités au Canada, sur une infrastructure située à Toronto. Les données de vérification biométrique traitées par Asgard Authenticate sont également stockées dans la région canadienne que nous avons sélectionnée auprès d'Asgard.
C'est un choix délibéré. Le cadre canadien de protection des renseignements personnels — la LPRPDE au fédéral et des lois provinciales comme la Loi 25 du Québec — compte parmi les plus protecteurs au monde, et nous considérons cette protection comme faisant partie de ce que représente un certificat Gardril.
Certaines confirmations de paiement traitées par Stripe peuvent être traitées aux États-Unis avec des garanties contractuelles.
Les clients de grandes entreprises, les organismes de formation et les associations en sécurité choisissent le pays et/ou l'État ou la province où leurs données sont stockées et gérées dans le cadre d'une configuration personnalisée.
5. Pourquoi nous utilisons vos données
- Gérer votre compte et offrir les cours — nécessaire pour fournir le service que vous avez demandé.
- Vérifier votre identité et délivrer votre certificat — avec votre consentement; l'étape biométrique s'effectue sous le consentement explicite distinct recueilli par Asgard.
- Traiter les paiements — nécessaire pour conclure votre achat, avec les obligations fiscales et comptables connexes.
- Protéger l'intégrité des certificats — la prévention de la fraude et des robots est au cœur de la fiabilité d'un certificat Gardril.
Le consentement est explicite, éclairé et donné librement. Vous pouvez le retirer en tout temps en écrivant à privacy@gardril.com, sous réserve des dossiers que la loi nous oblige à conserver. Le retrait du consentement n'invalide jamais un certificat que vous avez déjà obtenu.
6. Durée de conservation et suppression
Les dossiers de formation et les certificats sont conservés tant que votre compte est actif et aussi longtemps que vous choisissez de garder votre attestation — potentiellement toute la vie, parce qu'un certificat n'est utile que s'il dure. Vous pouvez en demander la suppression en tout temps.
Votre photo peut être retirée sur demande sans supprimer le reste de votre attestation.
Les résultats de vérification et le registre des consentements sont conservés avec le dossier de formation correspondant, comme preuve que la vérification et le consentement ont eu lieu.
Les confirmations de paiement sont conservées conformément aux exigences des lois fiscales et comptables, généralement 6 ans au Canada.
Les données de compte et les données techniques sont supprimées dans un délai de 90 jours suivant la fermeture du compte, sauf les dossiers que la loi nous oblige à conserver.
Dans certains secteurs réglementés (mines, pétrole et gaz, santé et sécurité au travail), la loi peut exiger la conservation des dossiers de formation pendant une période déterminée, même après une demande de suppression (p. ex., dans le cadre d'une enquête réglementaire sur un décès en milieu de travail). Le cas échéant, nous vous en informerons avant de traiter votre demande. Pour les données biométriques détenues par Asgard, nous transmettrons votre demande de suppression à Asgard, dont les pratiques de conservation et de destruction sont énoncées dans ses conditions.
7. Vos droits
Selon votre lieu de résidence, vous disposez de tout ou partie des droits suivants — et nous honorons l'ensemble le plus fort qui vous est offert :
- Accès — obtenir une copie des données que nous détenons à votre sujet.
- Rectification — corriger des données inexactes ou incomplètes.
- Suppression — y compris votre certificat et votre photo; nous nous conformons sauf lorsque la loi exige la conservation.
- Portabilité — recevoir vos données dans un format structuré.
- Retrait du consentement — en tout temps.
- Opposition ou limitation — vous opposer à certains traitements ou les restreindre.
Pour exercer un droit, écrivez à privacy@gardril.com. Nous répondons dans un délai de 30 jours, après des mesures raisonnables de vérification de votre identité. L'exercice de vos droits ne sera jamais retenu contre vous.
Vous pouvez aussi déposer une plainte auprès d'un organisme de réglementation : le Commissariat à la protection de la vie privée du Canada, la Commission d'accès à l'information du Québec, le commissaire à l'information et à la protection de la vie privée de l'Alberta ou de la Colombie-Britannique, ou, aux États-Unis, le procureur général de votre État.
8. Les lois que cette politique respecte
Cette politique s'adresse aux apprenants du Canada et des États-Unis. Au Canada, cela comprend la LPRPDE, les lois PIPA de l'Alberta et de la Colombie-Britannique, ainsi que la Loi 25 du Québec, qui impose des règles strictes pour les renseignements sensibles comme les données biométriques. Aux États-Unis, cela comprend l'obligation, en vertu de la FTC Act, de respecter les promesses faites sur cette page, les lois étatiques sur la protection des consommateurs comme la CCPA/CPRA de la Californie, les lois étatiques sur la biométrie comme la BIPA de l'Illinois — en vertu de laquelle l'étape biométrique est effectuée par Asgard avec votre consentement explicite — et les lois de notification des atteintes de chaque État. Lorsqu'une loi vous accorde un droit plus fort, c'est la protection la plus forte qui s'applique.
Cette politique et les documents de consentement sont offerts en français pour les apprenants du Québec — Read this policy in English.
9. Sécurité et notification des atteintes
Nous protégeons vos données par le chiffrement en transit et au repos, des contrôles d'accès, des mots de passe hachés, la journalisation des consentements et des obligations contractuelles de sécurité imposées à nos partenaires. Gardril ne détient elle-même aucune donnée biométrique.
En cas d'atteinte présentant un risque pour vous, nous vous aviserons, ainsi que les organismes de réglementation compétents, sans délai déraisonnable, conformément à la LPRPDE, à la Loi 25 du Québec et aux lois étatiques américaines applicables. Nous tenons un registre des incidents de confidentialité.
10. Âge requis
Les comptes Gardril sont offerts uniquement aux apprenants âgés de 18 ans et plus. Nous ne recueillons sciemment aucun renseignement auprès d'une personne de moins de 18 ans et, si nous apprenons que cela s'est produit, nous supprimons ces renseignements rapidement.
11. Témoins (cookies)
Nous n'utilisons que les témoins et le stockage local nécessaires pour maintenir votre session et faire fonctionner la plateforme. Les témoins non essentiels sont désactivés par défaut et utilisés seulement si vous y consentez.
12. Modifications de cette politique
Si nous apportons des changements importants — particulièrement à la façon dont la vérification d'identité fonctionne — nous vous en aviserons et, lorsque le changement touche substantiellement le traitement biométrique, nous demanderons votre nouveau consentement explicite plutôt que de nous fier à un simple avis. La version et la date d'entrée en vigueur figurent toujours en haut de cette page.
13. Contact
Responsable de la protection des renseignements personnels, RF Holdings Inc. (faisant affaire sous le nom Gardril)
privacy@gardril.com