Créer des liens sécurisés pour partager des fichiers avec des tiers — consentement Loi 25, IP-binding, expiration, mot de passe, liens de dépôt

Liens de partage et de dépôt

Les liens de partage permettent d'envoyer des fichiers à des personnes externes qui n'ont pas de compte ConformVault. Les liens de dépôt font l'inverse : ils permettent à une personne externe de déposer des fichiers chez vous.

Tous les accès via lien sont tracés dans le journal de conformité et conformes à la Loi 25 du Québec.

Créer un lien de téléchargement (envoyer un fichier)

Dans la page Fichiers, ouvrez le menu contextuel d'un fichier (trois points) → Partager.
La fenêtre de configuration s'ouvre.
Configurez les paramètres du lien :

Paramètres disponibles

Paramètre	Description	Recommandation
Nom du lien	Référence interne (ne s'affiche pas au destinataire)	Mettez un nom explicite : "Contrat client X – révision 2"
Date d'expiration	Date à laquelle le lien sera désactivé	7 à 30 jours selon le contexte
Nombre maximal de téléchargements	Limite après laquelle le lien est invalidé	1 à 5 selon le besoin
Mot de passe	Mot de passe à saisir avant accès (en plus du token)	Recommandé pour les documents très sensibles ; communiqué hors-bande au destinataire
Texte de consentement (Loi 25)	Texte personnalisé que le destinataire doit accepter avant accès	Obligatoire si vous partagez des données personnelles
Acceptance obligatoire	Force l'acceptation du consentement avant tout download/upload	Activé par défaut depuis avril 2026 (`require_acceptance=true`)
IP-binding	L'acceptation est verrouillée à l'IP qui l'a fournie. Un autre utilisateur sur une autre IP ne peut pas réutiliser le lien sans recommencer	Activé par défaut

Cliquez sur Créer le lien. Une URL au format https://conformvault.com/s/<token> est générée et copiée dans votre presse-papiers.

Côté destinataire

Lorsqu'une personne ouvre un lien de partage :

Elle voit la page d'accueil du lien : nom du fichier, taille, expéditeur (votre organisation).
Si un texte de consentement est configuré : elle doit le lire et cliquer sur J'accepte. Son IP est enregistrée et le consentement est verrouillé sur cette IP.
Si un mot de passe est requis : elle le saisit.
Elle accède au téléchargement. Le fichier est déchiffré côté serveur (mode chiffrement serveur) ou côté client via la clé publique embarquée dans le lien (mode E2E avec partage).

Toutes ces actions sont enregistrées dans le journal de conformité du lien : timestamp, IP, user-agent, action (consultation, acceptation, téléchargement).

Créer un lien de dépôt (recevoir des fichiers)

Les liens de dépôt sont parfaits pour collecter des documents auprès d'un client (ex. : un comptable demande à son client ses pièces fiscales).

Dans le menu Liens de partage → Créer un lien.
Sélectionnez le mode Dépôt (upload uniquement).
Configurez :
- Dossier de destination : où les fichiers déposés seront stockés
- Date d'expiration
- Nombre maximal de fichiers (optionnel)
- Texte de consentement (recommandé)
- Liste de fichiers attendus (optionnel) : liste de noms (ex. "T4-2025.pdf", "Relevé bancaire janvier") qui s'affiche au déposant comme une checklist
Partagez le lien.

Liste de fichiers attendus

Si vous configurez une liste, le destinataire voit :

Une checklist des documents à fournir
Un statut par item : à fournir / téléversé / accepté
Un indicateur de progression global

Quand tous les items sont marqués comme reçus, vous êtes notifié.

Gérer vos liens existants

La page Liens de partage liste tous vos liens. Pour chacun :

Information	Description
Nom	Référence interne
Type	Téléchargement / Dépôt
Statut	Actif / Expiré / Révoqué
Vues	Nombre d'ouvertures du lien
Téléchargements	Nombre de fichiers récupérés
Uploads	Nombre de fichiers déposés (si type dépôt)
Date d'expiration	Quand le lien sera désactivé
Actions	Copier l'URL, voir les logs de conformité, révoquer

Révoquer un lien

Cliquez sur l'icône Révoquer. Le lien devient immédiatement inutilisable. Toute requête ultérieure renvoie une erreur 403. La révocation est elle-même tracée.

Consulter les logs de conformité

Cliquez sur Logs ou Journal d'un lien pour voir :

Toutes les ouvertures (timestamp, IP, user-agent)
Toutes les acceptations de consentement (avec snapshot du texte exact qui a été affiché)
Tous les téléchargements / uploads
Les tentatives échouées (mauvais mot de passe, IP différente après acceptation, etc.)

Ce journal sert de preuve de conformité Loi 25 : exportable en PDF pour vos audits.

Sécurité du partage

Mécanisme	Protection
Token cryptographiquement aléatoire (32 octets)	Devinette par force brute irréalisable
Rate limiting par IP (configurable)	Empêche le brute force
HTTPS / TLS 1.3	Chiffrement en transit
Acceptance fail-closed	Si la vérification du token d'acceptation échoue, l'accès est refusé (pas de bypass silencieux)
Logs immuables	Le journal de conformité est append-only
Mot de passe hashé (bcrypt)	Le mot de passe optionnel n'est pas stocké en clair
IP-binding	L'acceptation est liée à l'IP source ; changer d'IP exige une nouvelle acceptation

Bonnes pratiques

Toujours configurer un texte de consentement quand vous partagez des données personnelles (Loi 25).
Limiter la durée du lien (7-14 jours) plutôt que de le laisser actif indéfiniment.
Limiter le nombre de téléchargements quand vous savez qu'une seule personne doit accéder.
Communiquer le mot de passe via un canal séparé (téléphone, SMS) — jamais dans le même email que le lien.
Révoquer les liens dès qu'ils ne sont plus nécessaires.
Consulter régulièrement les logs pour repérer les accès anormaux.

Différence entre lien de partage et transfert

Critère	Lien de partage	Transfert
Personnalisation	Mot de passe, IP-binding, consentement, plusieurs téléchargements	Plus simple
Liste de fichiers attendus	Oui (mode dépôt)	Non
Durée typique	Jours à semaines	Quelques jours
Cas d'usage	Partage formel, conformité Loi 25	Envoi rapide ad hoc

Pour un envoi rapide et léger, voir la page Transferts ad hoc.

Liens de partage et de dépôt

On this page