Newsletter image

Subscribe to our Newsletter

Join 10k+ people to get notified about new posts, news and updates.

Do not worry we don't spam!

Select theme:

Gouvernance des données

En vigueur depuis le 5 novembre 2025 — Pratiques transparentes de gestion des données conformes à la Loi 25 et à la LPRPDE.

1. Introduction à la gouvernance des données

La gouvernance des données chez Orfolio englobe les politiques, processus et mesures techniques que nous employons pour assurer la collecte, le stockage, le traitement et la protection responsables des données utilisateurs. En tant qu'entreprise canadienne opérant sous la Loi 25 du Québec et la LPRPDE, nous nous engageons envers la transparence, la sécurité et les droits des utilisateurs.

Ce document décrit comment nous gérons les données tout au long de leur cycle de vie, de la collecte à la suppression, et comment nous assurons la conformité aux réglementations applicables en matière de vie privée et de sécurité.

2. Architecture des données et infrastructure

Orfolio fonctionne sur une architecture multi-locataire conçue pour assurer l'isolation des données, la sécurité et l'évolutivité.

2.1 Hébergement et résidence des données

  • Hébergement principal : Microsoft Azure Canada (région de Toronto) — garantit la souveraineté des données et la conformité à la loi canadienne.
  • Infrastructure secondaire : Vultr (Toronto) — utilisé pour des charges de travail spécifiques et à des fins de redondance.
  • Résidence des données : Toutes les données personnelles et sensibles sont stockées exclusivement sur le territoire canadien pour se conformer aux exigences de la Loi 25.

2.2 Architecture multi-locataire

Chaque compte utilisateur fonctionne dans un environnement logiquement isolé, garantissant :

  • Une séparation stricte des données entre locataires (utilisateurs, organisations).
  • Un contrôle d'accès basé sur les rôles (RBAC) pour empêcher l'accès non autorisé entre locataires.
  • Un stockage de données chiffré avec des clés de chiffrement spécifiques à chaque locataire le cas échéant.

3. Contrôle d'accès et principe du moindre privilège

L'accès à l'infrastructure et aux données utilisateurs d'Orfolio est régi par le principe du moindre privilège, ce qui signifie que les employés et les systèmes ne disposent que de l'accès minimum nécessaire pour accomplir leurs fonctions.

3.1 Rôles internes et permissions

  • Administrateurs de plateforme : Accès limité à la configuration et à la surveillance du système ; aucun accès direct au contenu généré par les utilisateurs.
  • Équipe de support : Accès restreint au dépannage et à la résolution des problèmes signalés par les utilisateurs avec journalisation explicite des permissions.
  • Développeurs : Accès aux environnements de staging et de développement uniquement ; l'accès à la production nécessite une authentification multifacteur (MFA) et une journalisation d'audit.
  • Responsable de la protection des données (RPD) : Supervision des politiques de gouvernance des données, de la réponse aux incidents et de la surveillance de la conformité.

3.2 Authentification et autorisation

  • L'authentification des utilisateurs est sécurisée par le hachage de mot de passe bcrypt et les JWT (JSON Web Tokens).
  • L'authentification à deux facteurs (2FA) est disponible pour tous les utilisateurs et obligatoire pour les comptes administratifs.
  • Les jetons de session sont de courte durée, chiffrés et transmis exclusivement via HTTPS.

4. Audits de sécurité et surveillance

Orfolio maintient une surveillance de sécurité continue et effectue des audits réguliers pour détecter et répondre aux menaces potentielles.

4.1 Journaux d'audit et suivi d'activité

  • Toutes les actions administratives, demandes d'accès aux données et modifications système sont journalisées avec horodatage et identifiants utilisateur.
  • Les journaux sont conservés pendant un minimum de 12 mois et sont examinés régulièrement pour détecter les anomalies.
  • Les tentatives d'accès non autorisées déclenchent des alertes automatiques et sont examinées par l'équipe de sécurité.

4.2 Détection et prévention des intrusions

  • Azure Security Center et les pare-feu réseau surveillent les activités suspectes.
  • Détection des menaces en temps réel utilisant l'apprentissage automatique et l'analyse comportementale.
  • Protection DDoS et limitation du débit pour prévenir les interruptions de service.

4.3 Tests de pénétration et gestion des vulnérabilités

  • Audits de sécurité et tests de pénétration annuels par des tiers.
  • Analyse automatisée des vulnérabilités et mises à jour des dépendances.
  • Procédures de réponse aux incidents documentées et testées trimestriellement.

5. Sauvegarde, récupération et continuité des activités

Orfolio met en œuvre des stratégies complètes de sauvegarde et de reprise après sinistre pour assurer la disponibilité et la résilience des données.

5.1 Fréquence et conservation des sauvegardes

  • Sauvegardes de base de données : Sauvegardes quotidiennes automatisées avec instantanés incrémentiels toutes les 6 heures.
  • Sauvegardes du contenu utilisateur : Sauvegardes complètes hebdomadaires des sites web hébergés et des ressources multimédias.
  • Conservation des sauvegardes : Les sauvegardes sont conservées pendant 30 jours et stockées dans des emplacements géographiquement redondants au Canada.

5.2 Reprise après sinistre et restauration

  • Objectif de temps de récupération (RTO) : 4 heures pour les services critiques.
  • Objectif de point de récupération (RPO) : Maximum 6 heures de perte de données dans les scénarios catastrophiques.
  • Les utilisateurs peuvent demander la restauration manuelle du contenu supprimé dans les 30 jours suivant la suppression en contactant le support.

5.3 Plan de continuité des activités

  • Infrastructure redondante à travers plusieurs zones de disponibilité Azure.
  • Mécanismes de basculement automatique pour les services critiques.
  • Protocoles de réponse aux incidents et de communication documentés.

6. Notification des incidents de sécurité

En cas de violation de données ou d'incident de sécurité susceptible de compromettre des informations personnelles, Orfolio :

  • Notifiera les utilisateurs concernés dans un délai de 72 heures suivant la découverte de la violation, comme l'exige la Loi 25.
  • Signalera l'incident à la Commission d'accès à l'information du Québec (CAI) et aux autres autorités compétentes.
  • Fournira des informations claires sur la nature de la violation, les données affectées et les mesures prises pour atténuer les dommages.
  • Offrira des conseils sur les mesures de protection que les utilisateurs peuvent prendre (p. ex., réinitialisation de mot de passe, surveillance de compte).

Les notifications d'incident seront envoyées par courriel à l'adresse de contact principale au dossier. Des mises à jour supplémentaires seront publiées sur notre page d'état et nos canaux de communication officiels.

7. Politique de conservation et de suppression des données

Orfolio conserve les données personnelles uniquement le temps nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées ou tel que requis par la loi.

7.1 Périodes de conservation

  • Abonnés actifs : Les données sont conservées pendant la durée de l'abonnement plus 30 jours après l'annulation.
  • Utilisateurs inactifs : Les comptes sans activité pendant 6 mois et sans abonnement actif sont signalés pour suppression.
  • Dossiers de facturation : Conservés pendant 7 ans pour se conformer aux réglementations fiscales et comptables canadiennes.
  • Journaux d'audit : Conservés pendant 12 mois à des fins de sécurité et de conformité.

7.2 Suppression automatique et anonymisation

  • Les données personnelles sont automatiquement supprimées ou anonymisées une fois les périodes de conservation expirées.
  • Les utilisateurs peuvent demander une suppression immédiate à tout moment en contactant rdpd@orfolio.com.
  • Les données supprimées sont définitivement retirées des systèmes de production et des sauvegardes dans un délai de 30 jours.

8. Partage de données avec des tiers et conformité

Orfolio ne partage des données avec des fournisseurs de services tiers que lorsque cela est nécessaire pour fournir nos services. Tous les tiers sont contractuellement tenus de se conformer à la Loi 25 et à la LPRPDE.

8.1 Fournisseurs tiers approuvés

  • Microsoft Azure : Hébergement cloud et infrastructure (centres de données canadiens uniquement).
  • Stripe : Traitement des paiements et facturation (conforme PCI-DSS).
  • OpenAI, Claude AI, DeepSeek : Fournisseurs de modèles d'IA pour la génération de contenu (sélectionnés par l'utilisateur, avec consentement).

8.2 Accords de traitement des données

  • Tous les tiers signent des accords de traitement des données (DPA) garantissant la conformité à la Loi 25.
  • Les transferts hors du Canada nécessitent le consentement explicite de l'utilisateur et des garanties contractuelles.
  • Aucune donnée n'est vendue, louée ou partagée avec des annonceurs ou des courtiers en données.

9. Portabilité des données et droits des utilisateurs

Conformément à la Loi 25 et à la LPRPDE, Orfolio garantit les droits utilisateurs suivants :

  • Droit d'accès : Demander une copie de toutes les données personnelles que nous détenons à votre sujet.
  • Droit de rectification : Corriger les informations inexactes ou incomplètes.
  • Droit à l'effacement : Demander la suppression permanente de votre compte et des données associées.
  • Droit à la portabilité : Exporter vos données dans un format structuré et lisible par machine (JSON, CSV).
  • Droit de retirer le consentement : Refuser le traitement de données non essentiel à tout moment.

Les demandes de portabilité des données sont traitées dans un délai de 30 jours. Les utilisateurs peuvent soumettre des demandes par courriel à rdpd@orfolio.com ou via le tableau de bord des paramètres du compte.

10. Plan de continuité et de reprise après sinistre

Orfolio maintient un plan complet de continuité des activités et de reprise après sinistre (BCDR) pour assurer la disponibilité du service et l'intégrité des données en cas d'incidents imprévus.

  • Infrastructure redondante : Réplication multi-région au Canada pour les données critiques.
  • Basculement automatique : Équilibreurs de charge et routage du trafic pour minimiser les temps d'arrêt.
  • Plan de communication : Mises à jour en temps opportun aux utilisateurs par courriel, page d'état et réseaux sociaux lors des incidents.
  • Tests annuels : Le plan BCDR est testé et affiné annuellement pour garantir son efficacité.

11. Supervision de la gouvernance et responsabilité

La gouvernance des données chez Orfolio est supervisée par notre Responsable de la protection des données (RPD), qui assure :

  • La conformité à la Loi 25, à la LPRPDE et aux autres réglementations applicables.
  • Des examens et mises à jour réguliers des politiques de gouvernance des données.
  • La formation des employés sur la vie privée, la sécurité et les meilleures pratiques de gestion des données.
  • La coordination avec les conseillers juridiques et les autorités réglementaires au besoin.

Pour toute question ou préoccupation concernant la gouvernance des données, veuillez contacter :

Responsable de la protection des données – Studio Orfolio
Montréal, QC, Canada
Courriel : rdpd@orfolio.com

Dernière mise à jour : 5 novembre 2025