SecuAAS Docs
ConformVault

Conformité Loi 25 du Québec

Configurer le consentement, l'IP-binding, le journal de conformité et les rapports exportables — conforme à la Loi 25, RGPD et PIPEDA

Conformité Loi 25 du Québec

ConformVault inclut nativement les garde-fous nécessaires à la conformité avec la Loi 25 du Québec (modernisation des dispositions législatives en matière de protection des renseignements personnels), avec extensions vers le RGPD européen et PIPEDA fédéral.

Principes Loi 25 implémentés

Exigence Loi 25Mécanisme ConformVault
Consentement éclairé pour la communication de renseignements personnelsTexte de consentement personnalisable par lien de partage, à accepter avant tout accès
Traçabilité des accèsJournal de conformité par lien + audit trail global
Résidence des données au Québec / CanadaDatacenter OVH BHS (Beauharnois) par défaut, GRA en option pour la France
Sécurité raisonnableChiffrement E2E AES-256-GCM + RSA-4096, MFA, RBAC
Minimisation des donnéesPermissions granulaires, expiration automatique des liens, IP-binding
Droit à l'accès et à la portabilitéExport complet des données utilisateur (Profil → Exporter)
Notification d'incidentAlertes administrateur en cas d'événement suspect
Politique de confidentialitéPage Org Settings dédiée à la documentation

Texte de consentement par défaut

Configurez dans Org Settings → Politique de partage un texte de consentement Loi 25 par défaut qui sera proposé à chaque création de lien de partage. Vos utilisateurs peuvent l'utiliser tel quel ou le personnaliser au cas par cas.

Exemple :

En accédant à ces documents, vous reconnaissez avoir pris connaissance des renseignements personnels qui y sont contenus et vous engagez à :

  • Ne les utiliser que pour [usage prévu]
  • Ne pas les transmettre à des tiers non autorisés
  • Les détruire à l'issue de la durée nécessaire
  • Respecter la confidentialité conformément à la Loi 25 du Québec

Le texte exact présenté à l'utilisateur est figé dans le journal de conformité (snapshot) au moment de l'acceptation. Si vous modifiez le texte plus tard, les acceptations passées conservent l'ancienne version.

Acceptance enforcement (Phase 1, depuis avril 2026)

Depuis la version 3.38 du backend, ConformVault impose par défaut la vérification d'acceptation sur tous les liens de partage qui exigent un consentement.

Côté lien

À la création, l'option Acceptance obligatoire est cochée par défaut. Si elle est active :

  • Aucun téléchargement n'est possible avant l'acceptation du consentement
  • Aucun upload (mode dépôt) n'est possible avant l'acceptation
  • Le destinataire reçoit le contenu seulement après avoir cliqué sur J'accepte

Côté serveur (BFF Python)

Le proxy BFF Python vérifie systématiquement le token d'acceptation avant tout proxy vers le backend Go :

  • Token cv_acceptance_token lu depuis cookie HttpOnly, header X-Acceptance-Token ou query string
  • Vérification via Go /s/:token/acceptance/verify
  • Fail-closed : si la vérification est inaccessible (réseau down), l'accès est refusé avec 503 — aucun bypass silencieux
  • L'IP réelle (X-Real-IP / X-Forwarded-For) est forwardée pour la comparaison IP-binding

Une feature flag CV_BFF_ACCEPTANCE_ENFORCE permet de désactiver l'enforcement temporairement (debug, migration). Quand elle est OFF, un log WARNING est émis et une alerte Telegram envoyée à SecuAAS pour traçabilité.

IP-binding

L'IP-binding est un mécanisme de défense supplémentaire :

  • Quand un destinataire accepte le consentement, son IP est enregistrée dans le token d'acceptation
  • Toute requête ultérieure (download, upload) doit provenir de la même IP
  • Si l'IP change (changement de réseau, VPN), le destinataire doit re-accepter

Cela empêche le partage du token d'acceptation entre plusieurs personnes sur des réseaux différents.

Limite : si le destinataire utilise un réseau IPv6 dynamique ou un VPN à rotation, il devra re-accepter occasionnellement. Pour la majorité des cas (entreprise, domicile), l'IP reste stable plusieurs heures.

Journal de conformité par lien

Pour chaque lien de partage, un journal de conformité dédié est accessible :

  1. Liens de partage → cliquer sur un lien → onglet Logs.
  2. Visualisation chronologique :
ActionDonnées enregistrées
Vue du lien (sans accès)Timestamp, IP, user-agent
Acceptation du consentementTimestamp, IP, user-agent, snapshot du texte exact accepté, hash du texte
Téléchargement réussiTimestamp, IP, fichier téléchargé, taille
Téléchargement refusé (acceptance KO ou IP différente)Timestamp, IP, raison du refus
Upload (mode dépôt)Timestamp, IP, nom du fichier, taille
Révocation du lienTimestamp, utilisateur ConformVault qui a révoqué

Export du journal

Cliquez sur Exporter :

  • PDF : rapport officiel signé numériquement, utilisable comme preuve juridique
  • CSV : pour analyse interne ou import dans un SIEM

Audit trail global

L'audit trail de l'organisation (page Audit logs côté admin) trace toutes les actions internes :

  • Connexions / déconnexions
  • Activation / désactivation MFA
  • Création / modification / suppression de fichiers
  • Création / révocation de liens de partage
  • Création / révocation d'invitations d'espace client
  • Modifications de paramètres organisation
  • Changements de rôles utilisateurs
  • Accès depuis nouvelle IP (alerte)

Voir Journal d'audit.

Rapports de conformité (Compliance Reports)

Page Compliance Reports (rôle client_admin, msp, superadmin) — génère des rapports synthétiques pour vos audits réglementaires :

  • Activité par utilisateur sur une période
  • Liste des partages externes (qui, à qui, quand, accepté ou non)
  • Signatures complétées avec audit trail
  • Accès par IP (cartographie géographique)
  • Tentatives suspectes (échecs de mot de passe, IP changeantes, etc.)

Format : PDF officiel avec en-tête de votre organisation, ou CSV pour traitement.

Résidence des données

Les buckets S3 de votre organisation sont créés par défaut dans la région OVH BHS (Beauharnois, Québec, Canada). Cela répond à l'exigence de la Loi 25 sur la conservation des renseignements personnels au Canada.

Pour les organisations européennes, l'option GRA (Gravelines, France) est disponible — répond aux exigences RGPD et garantit le stockage en UE.

Le choix de la région se fait à l'inscription et peut être modifié par le superadmin SecuAAS sur demande (migration coordonnée).

Notification d'incident

En cas d'événement suspect (tentatives de connexion répétées, accès depuis pays inhabituel, fuite potentielle), ConformVault :

  1. Alerte les administrateurs de l'organisation par email + notification in-app
  2. Bloque le compte concerné si le risque est élevé
  3. Logue l'incident dans l'audit trail
  4. Permet l'investigation via les logs détaillés

Pour les obligations Loi 25 de notification à la CAI (Commission d'accès à l'information du Québec), c'est à votre organisation d'en évaluer l'opportunité avec votre conseiller juridique.

Droits des personnes concernées

Droit d'accès

Tout utilisateur peut exporter ses données depuis Profil → Exporter mes données. Export complet : profil, fichiers (métadonnées), logs personnels.

Droit de rectification

L'utilisateur modifie ses données depuis son Profil. Pour les modifications côté admin (changement d'email, de rôle), voir Utilisateurs et rôles.

Droit à l'oubli (effacement)

Procédure manuelle :

  1. L'utilisateur fait la demande à votre administrateur (ou directement au support SecuAAS).
  2. L'admin supprime le compte (voir Utilisateurs et rôles).
  3. Pour anonymisation complète des audit logs (au-delà de la simple suppression du compte), procédure manuelle assistée par le support — V2 prévoit l'automatisation.

Droit à la portabilité

L'export Profil → Exporter contient toutes les données dans un format structuré (JSON, métadonnées de fichiers). Les fichiers eux-mêmes peuvent être téléchargés en lot via l'interface ou l'API.

Droit à la limitation du traitement

La désactivation d'un compte (sans suppression) répond à ce droit : les données sont conservées mais inaccessibles.

Politique de rétention

Configurez dans Org Settings → Rétention (V1 limitée, V2 complète) :

  • Durée de conservation par dossier (ex. 7 ans pour les dossiers fiscaux)
  • Suppression automatique après expiration
  • Legal Hold pour bloquer la suppression pendant un litige (via API Developer)

Bonnes pratiques

  • Configurez un texte de consentement par défaut dès l'inscription
  • Activez l'IP-binding sur tous vos liens partageant des données personnelles
  • Limitez la durée des liens au strict nécessaire
  • Exportez régulièrement les rapports de conformité (mensuel ou trimestriel)
  • Formez votre équipe : le consentement Loi 25 doit être informé — un texte vague ne suffit pas
  • Tenez un registre des traitements (obligation Loi 25 pour les organisations de plus de 50 employés)
  • Documentez votre politique de confidentialité sur votre site et dans Org Settings

Espaces client (gestion administrateur)

Créer un espace, configurer le branding, lier un dossier, inviter des membres, gérer les fichiers et la messagerie

Branding et personnalisation

Personnaliser le logo, les couleurs et les messages d'accueil de votre organisation et de vos espaces client

On this page

Conformité Loi 25 du QuébecPrincipes Loi 25 implémentésTexte de consentement par défautAcceptance enforcement (Phase 1, depuis avril 2026)Côté lienCôté serveur (BFF Python)IP-bindingJournal de conformité par lienExport du journalAudit trail globalRapports de conformité (Compliance Reports)Résidence des donnéesNotification d'incidentDroits des personnes concernéesDroit d'accèsDroit de rectificationDroit à l'oubli (effacement)Droit à la portabilitéDroit à la limitation du traitementPolitique de rétentionBonnes pratiques