Partager des documents sensibles sans multiplier les risques.
doclinc aide les organisations à répondre à leurs obligations de protection des renseignements personnels en offrant un environnement de partage documentaire sécurisé, traçable et conçu pour limiter la conservation inutile des documents.
doclinc facilite la conformité de ses clients.
Notre rôle est de fournir une solution sécurisée pour transmettre et recevoir des documents sensibles. Le client demeure responsable de ses politiques internes, des fins de collecte, des avis aux personnes concernées et de ses propres obligations légales.
Sécurité intégrée
Les documents sont protégés par chiffrement, accès contrôlé et authentification des destinataires afin de réduire les risques liés aux pièces jointes traditionnelles.
Traçabilité
Les événements clés sont journalisés afin de soutenir les besoins d’audit, d’enquête interne et de reddition de comptes.
Conservation limitée
doclinc est conçu pour éviter la conservation indéfinie des documents transmis, avec expiration et suppression automatique après la période prévue.
Hébergement canadien et infrastructure AWS.
Les documents et données principales traités par doclinc sont hébergés au Canada, dans la région AWS Canada Central, située dans la région de Montréal.
| Élément | Approche doclinc |
|---|---|
| Hébergement principal | Documents et données principales hébergés au Canada sur AWS Canada Central. |
| SOC 2 Type II | L’infrastructure AWS dispose de rapports SOC indépendants accessibles aux clients AWS via AWS Artifact, selon les conditions applicables. |
| Certification applicative | À ce jour, l’application doclinc n’est pas certifiée SOC 2 Type II ni ISO 27001. |
| Audits clients | doclinc peut se soumettre à un audit ou à un test d’intrusion indépendant à la demande d’un client, selon des modalités à convenir. |
Transferts limités liés à l’authentification
Aucun document client n’est transféré hors du Canada dans le cadre du stockage principal. Pour certains mécanismes d’authentification, comme le PIN par SMS ou appel vocal, des données limitées peuvent transiter par des services situés à l’extérieur du Canada, par exemple un numéro de téléphone et un code à usage unique.
Ces données ne donnent pas accès au contenu des documents et sont utilisées uniquement pour l’authentification.
Des contrôles conçus pour protéger les renseignements sensibles.
doclinc combine chiffrement, accès contrôlé, authentification forte, journalisation et suppression automatique pour mieux encadrer les échanges documentaires.
| Mesure | Description |
|---|---|
| Chiffrement au repos | Les données stockées sont protégées par chiffrement AES-256. |
| Chiffrement en transit | Les communications sont protégées par TLS 1.2 ou version supérieure. |
| Contrôle d’accès | L’accès aux documents est limité aux destinataires autorisés selon les paramètres définis par l’expéditeur. |
| Authentification | Les destinataires peuvent être authentifiés au moyen d’un PIN par SMS, appel vocal ou autre mécanisme configuré. |
| Accès administratifs | Les accès administratifs sont limités selon le principe du moindre privilège et protégés par authentification forte. |
| Accès employés | Les employés de doclinc n’ont pas accès aux documents clients dans le cadre des opérations normales. |
| Journalisation | Les événements clés sont journalisés : envoi, accès, authentification, téléversement, téléchargement, expiration et suppression. Les journaux ne contiennent pas le contenu des documents; ils sont limités aux métadonnées nécessaires à la sécurité, à la traçabilité, au soutien client et aux obligations d’audit applicables. |
| Conservation limitée | Les documents sont disponibles pour une période limitée et supprimés automatiquement après expiration. |
Un meilleur encadrement du cycle de vie des documents.
La Loi 25 met l’accent sur la responsabilisation, la protection des renseignements personnels, la limitation de la conservation et la gestion des incidents de confidentialité.
Conservation, expiration et suppression
doclinc est conçu pour éviter que des documents sensibles demeurent accessibles indéfiniment dans des boîtes courriel, portails génériques ou liens non contrôlés. Les documents expirent selon la période prévue et sont supprimés automatiquement après expiration.
Incidents de confidentialité
En cas d’incident impliquant les services doclinc, nous collaborons avec le client afin de fournir les renseignements pertinents permettant d’évaluer la portée, le risque de préjudice sérieux et les mesures de mitigation nécessaires, selon les modalités contractuelles applicables.
Des principes compatibles avec la Loi 25, la LPRPDE et le RGPD.
Cette page porte principalement sur la Loi 25. Plusieurs mesures techniques et organisationnelles mises en place par doclinc reposent toutefois sur des principes communs à d’autres cadres de protection des renseignements personnels, notamment la LPRPDE fédérale et le RGPD européen : sécurité adaptée au risque, limitation de la conservation, contrôle d’accès, traçabilité et encadrement contractuel du traitement des données.
| Principe | Loi 25 (Québec) | LPRPDE (fédéral Canada) | RGPD (Union européenne) |
|---|---|---|---|
| Limitation de la collecte | Collecte limitée aux fins déterminées. | Collecte limitée à ce qui est nécessaire aux fins identifiées. | Principe de minimisation des données. |
| Mesures de sécurité | Mesures de sécurité appropriées selon la sensibilité des renseignements. | Mesures de sécurité raisonnables adaptées au contexte. | Sécurité adaptée au risque, notamment selon l’article 32. |
| Conservation limitée | Conservation limitée aux fins applicables, avec destruction ou anonymisation lorsque requis. | Conservation seulement aussi longtemps que nécessaire. | Principe de limitation de la conservation. |
| Traçabilité et reddition de comptes | Responsabilisation, documentation et registre des incidents de confidentialité. | Responsabilité de l’organisation et tenue d’un registre des atteintes aux mesures de sécurité. | Accountability et documentation des traitements lorsque requis. |
| Notification d’incident | Notification à la CAI et aux personnes concernées lorsqu’un incident présente un risque de préjudice sérieux. | Déclaration au Commissariat et avis aux personnes concernées lorsqu’il existe un risque réel de préjudice grave. | Notification à l’autorité compétente sans délai indu et, lorsque faisable, dans les 72 heures après en avoir pris connaissance, sauf exception applicable. |
| Transferts hors territoire | Évaluation et encadrement requis lorsque des renseignements personnels sont communiqués à l’extérieur du Québec. | Protection comparable exigée lorsque des renseignements sont confiés à un fournisseur ou transférés hors organisation. | Transferts encadrés selon les mécanismes applicables, comme une décision d’adéquation ou des clauses contractuelles types. |
Une note sur le RGPD
doclinc n’est pas certifié RGPD et ne désigne pas de délégué à la protection des données (DPO) au sens européen. Les organisations dont les clients ou partenaires sont situés dans l’Union européenne, et dont les activités entrent dans le champ d’application du RGPD, demeurent responsables de leur propre conformité. doclinc peut cependant soutenir ces obligations au moyen de son DPA, de ses mécanismes de traçabilité et de ses mesures de sécurité.
Des journaux pour soutenir l’audit et la reddition de comptes.
Les journaux d’événements permettent de mieux documenter ce qui s’est produit lors d’un échange documentaire sensible.
| Événement | Objectif |
|---|---|
| Création d’une demande | Documenter l’origine de l’envoi ou de la demande de documents. |
| Accès au lien sécurisé | Confirmer qu’un lien a été consulté. |
| Authentification | Documenter les étapes d’accès sécurisé. |
| Téléversement ou téléchargement | Confirmer les actions effectuées sur les documents. |
| Expiration ou suppression | Démontrer la fin de disponibilité des documents. |
Une entente de traitement des données disponible sur demande.
doclinc peut fournir une entente de traitement des données afin d’encadrer contractuellement le traitement des renseignements personnels effectué dans le cadre de ses services.
| Clause | Ce que l’entente peut couvrir |
|---|---|
| Rôles et responsabilités | Définition des responsabilités du client et de doclinc dans le traitement des renseignements personnels. |
| Mesures de sécurité | Description des mesures techniques et organisationnelles appliquées aux services doclinc. |
| Notification d’incident | Engagement de notification dans les meilleurs délais raisonnables après analyse et confirmation de l’incident. |
| Sous-traitants | Encadrement des fournisseurs nécessaires à la prestation du service, comme l’hébergement, la facturation ou certains mécanismes d’authentification. |
| Localisation et transferts | Précisions sur l’hébergement canadien des documents et sur les transferts limités pouvant être liés à l’authentification. |
| Audit raisonnable | Droit d’audit encadré, selon des modalités convenues entre les parties. |
| Conservation et suppression | Conditions de conservation, d’expiration et de suppression des documents traités par doclinc. |
Une solution sécurisée ne remplace pas une gouvernance interne.
doclinc fournit les moyens technologiques pour partager des documents de façon plus sécuritaire. Chaque organisation demeure responsable de ses propres décisions d’affaires, juridiques et opérationnelles.
| Responsabilité | Exemples |
|---|---|
| Déterminer les fins de collecte | Pourquoi les documents ou renseignements sont demandés. |
| Limiter les renseignements demandés | Demander uniquement les documents nécessaires au traitement du dossier. |
| Informer les personnes concernées | Politique de confidentialité, avis, consentement ou autre base applicable. |
| Gérer les accès internes | Déterminer quels employés peuvent envoyer, recevoir ou consulter les documents. |
| Définir les durées de conservation | Établir les périodes de conservation selon les obligations légales et opérationnelles du client. |
| Évaluer ses fournisseurs | Analyse de risque, DPA, EFVP ou autre processus requis selon le contexte. |
Réponses rapides pour les équipes TI, conformité et direction.
Ces réponses peuvent être utilisées dans le cadre d’un questionnaire de sécurité ou d’une évaluation fournisseur.
doclinc est-il certifié SOC 2 Type II?
À ce jour, l’application doclinc n’est pas certifiée SOC 2 Type II ni ISO 27001. L’infrastructure utilisée par doclinc est hébergée sur AWS, dont les rapports SOC indépendants sont disponibles aux clients AWS via AWS Artifact selon les conditions applicables.
Les documents sont-ils hébergés au Canada?
Oui. Les documents et données principales traités par doclinc sont hébergés au Canada sur AWS Canada Central. Certains mécanismes d’authentification, comme l’envoi d’un PIN par SMS ou appel vocal, peuvent faire transiter des données limitées à l’extérieur du Canada.
Les employés de doclinc peuvent-ils consulter les documents?
Non. Les employés de doclinc n’ont pas accès aux documents clients dans le cadre des opérations normales. Les accès administratifs sont limités selon le principe du moindre privilège et protégés par authentification forte.
doclinc peut-il fournir un DPA?
Oui. doclinc peut fournir une entente de traitement des données couvrant notamment les rôles et responsabilités, les mesures de sécurité, la notification d’incident, les sous-traitants, la localisation des données, l’audit raisonnable et la conservation des documents.
doclinc garantit-il la conformité complète d’un client à la Loi 25?
Non. doclinc est une solution technologique qui aide les organisations à mieux encadrer le partage de documents sensibles. La conformité complète dépend également des politiques, processus, avis, consentements, accès internes et pratiques de gouvernance propres à chaque client.
Besoin de répondre à un questionnaire de sécurité?
Notre équipe peut fournir un sommaire de sécurité, une entente de traitement des données ou des réponses adaptées à votre processus d’évaluation fournisseur.
Références utiles : Commission d’accès à l’information du Québec — incidents de confidentialité et mesures de sécurité; conservation et destruction des renseignements personnels; principaux changements de la Loi 25. Commissariat à la protection de la vie privée du Canada — LPRPDE et obligations des organisations. Comité européen de la protection des données — RGPD. AWS — SOC Compliance, AWS Artifact et AWS Canada Central.
Cette page est fournie à titre informatif. Elle ne constitue pas un avis juridique. Les clients devraient consulter leurs conseillers juridiques ou leur responsable de la protection des renseignements personnels afin d’évaluer leurs obligations spécifiques.
