Sommaire de sécurité
Ce document décrit les mesures de sécurité, de confidentialité et de gouvernance applicables aux services doclinc. Il est fourni sur demande aux clients, prospects et équipes TI/conformité.
Version 1.1 — Dernière révision : mai 2026
En bref
- Documents hébergés au Canada — AWS Canada Central
- Chiffrement AES-256 au repos, TLS 1.2+ en transit
- Authentification des destinataires — accès contrôlé
- Journalisation des événements clés, sans contenu documentaire
- Expiration et suppression automatique des documents
- DPA et documentation complémentaire disponibles sur demande
Positionnement
Une solution conçue pour le partage sécuritaire de documents sensibles
doclinc aide les organisations à mieux encadrer l'envoi, la réception et l'accès à des documents contenant des renseignements personnels ou sensibles, en remplaçant les pièces jointes traditionnelles par un processus plus contrôlé, plus traçable et plus facile à gouverner.
| Sujet | Description |
|---|---|
| Portée du document | Ce sommaire décrit les mesures de sécurité, de confidentialité et de gouvernance applicables aux services doclinc, incluant doclinc pour Outlook et les mécanismes de partage documentaire associés. |
| Usage recommandé | Document d'information à fournir à un client, à une équipe TI, à un responsable de la protection des renseignements personnels ou à une équipe de conformité dans le cadre d'une évaluation fournisseur. |
| Limite importante | La Loi 25 n'est pas une certification. doclinc soutient la conformité de ses clients, mais chaque client demeure responsable de ses politiques, finalités de collecte, avis, consentements, accès internes et obligations légales applicables. |
Architecture et hébergement
Infrastructure canadienne et flux contrôlés
Les documents et données principales traités par doclinc sont hébergés au Canada, dans la région AWS Canada Central (Montréal). L'infrastructure AWS dispose de rapports SOC indépendants accessibles aux clients AWS via AWS Artifact.
| Composante | Description |
|---|---|
| Application | Add-in Microsoft Outlook et plateforme sécurisée doclinc permettant l'envoi, la réception et le suivi de documents sensibles. |
| Hébergement principal | AWS Canada Central pour les documents et données principales. |
| Stockage documentaire | Stockage sécurisé avec chiffrement au repos et contrôles d'accès applicatifs. |
| Authentification destinataire | Accès par lien sécurisé et mécanisme d'authentification : PIN par SMS, appel vocal ou autre méthode configurée. |
| Services externes limités | Certains services (envoi de PIN par SMS ou appel vocal) peuvent faire transiter des données limitées hors Canada. Ces données ne donnent pas accès au contenu des documents. |
Mesures de sécurité
Contrôles techniques et organisationnels
| Contrôle | Description |
|---|---|
| Chiffrement au repos | Les données stockées sont protégées par chiffrement AES-256. |
| Chiffrement en transit | Les communications sont protégées par TLS 1.2 ou version supérieure. |
| Contrôle d'accès | L'accès aux documents est limité aux destinataires autorisés selon les paramètres définis par l'expéditeur ou l'organisation cliente. |
| Authentification | Les destinataires peuvent être authentifiés au moyen d'un PIN par SMS, appel vocal ou autre mécanisme configuré. |
| Accès administratifs | Les accès administratifs sont limités selon le principe du moindre privilège et protégés par authentification forte. |
| Accès employés | Les employés de doclinc n'ont pas accès aux documents clients dans le cadre des opérations normales. |
| Journalisation | Les événements clés sont journalisés (création, accès, authentification, téléversement, téléchargement, expiration, suppression). Les journaux sont limités aux métadonnées — aucun contenu documentaire n'est conservé dans les journaux standards. |
| Conservation limitée | Les documents sont disponibles pour une période limitée et supprimés automatiquement après expiration, selon les paramètres applicables. |
Cycle de vie des données
Collecte minimale, accès contrôlé et suppression
doclinc vise à limiter la conservation inutile des documents transmis. Les documents expirent et sont supprimés selon les paramètres applicables au service et au client.
| Catégorie | Approche |
|---|---|
| Documents téléversés | Disponibles pour une période limitée; expiration et suppression automatique. Paramètre par défaut : 7 jours (sauf configuration contraire). |
| Documents non récupérés | Suppression automatique après expiration. Paramètre par défaut : 7 jours. |
| Liens sécurisés | Durée de validité limitée selon la configuration applicative ou contractuelle. |
| Données d'authentification | Utilisées uniquement aux fins d'authentification; conservation limitée aux besoins de sécurité, de preuve et de journalisation. |
| Journaux de transaction | Conservés pour soutenir la sécurité, l'audit, le support et la reddition de comptes. Durée à confirmer selon la politique de conservation doclinc et les exigences client. |
| Données de facturation | Conservées selon les obligations comptables, fiscales et contractuelles applicables. |
| Sauvegardes | Conservation selon la politique de sauvegarde et de reprise applicable. |
Soutien à la conformité
Mesures utiles pour la Loi 25, la LPRPDE et le RGPD
doclinc ne remplace pas la gouvernance interne du client. La solution fournit des mécanismes qui aident les organisations à mieux appliquer des principes communs aux principaux cadres de protection des renseignements personnels.
Conformité Québec
Soutien aux principes de responsabilisation, sécurité, conservation limitée, gestion des incidents de confidentialité et documentation des traitements.
Conformité fédérale
Soutien aux principes de limitation de la collecte, mesures de sécurité raisonnables, conservation limitée et tenue de registres en cas d'atteinte.
Principes européens
Mesures compatibles avec la minimisation, la sécurité adaptée au risque, la limitation de conservation et la traçabilité, sans constituer une certification RGPD.
Gestion des incidents
Processus de collaboration et notification client
En cas d'incident impliquant les services doclinc, doclinc collabore avec le client afin de fournir les renseignements raisonnablement nécessaires pour évaluer la portée, le risque et les mesures de mitigation requises.
| Étape | Approche |
|---|---|
| Détection et qualification | Analyse initiale pour déterminer s'il s'agit d'un incident de sécurité ou d'un incident de confidentialité impliquant des renseignements personnels. |
| Confinement | Mesures raisonnables pour limiter la portée de l'événement, préserver les preuves et réduire les risques. |
| Évaluation du risque | Collaboration avec le client pour évaluer la sensibilité des renseignements, les conséquences possibles et la probabilité d'utilisation préjudiciable. |
| Notification client | Notification dans les meilleurs délais raisonnables après confirmation d'un incident — délai cible de 48 à 72 heures lorsque possible. |
| Responsabilité des avis externes | Le client demeure généralement responsable de déterminer et d'effectuer les avis à la CAI, aux personnes concernées ou aux autres autorités applicables. |
| Registre | doclinc maintient les informations nécessaires à son suivi interne et peut fournir au client les éléments requis pour son propre registre d'incidents. |
Sous-traitants
Fournisseurs impliqués dans la prestation du service
| Fournisseur | Rôle |
|---|---|
| Amazon Web Services (AWS) | Hébergement, stockage, infrastructure cloud et services de sécurité. Documents et données principales hébergés dans AWS Canada Central. |
| AWS — SMS / appel vocal | Transmission de PIN ou codes à usage unique. Peut impliquer un transit limité de données hors Canada (numéro de téléphone et code temporaire uniquement — aucun contenu documentaire). |
| AWS — messagerie transactionnelle | Envoi de notifications et rappels de service. Les notifications ne contiennent pas le contenu des documents. |
| Stripe | Facturation, paiement et abonnements. Ne traite pas le contenu des documents clients. |
| Microsoft 365 / Outlook | Environnement utilisé par le client pour accéder à l'add-in doclinc. Distinct d'un sous-traitant direct de doclinc pour le stockage principal des documents. |
Responsabilités du client
La technologie ne remplace pas la gouvernance interne
Finalités et minimisation
Déterminer pourquoi les documents sont demandés et limiter la collecte aux renseignements nécessaires.
Avis et consentement
Informer les personnes concernées et obtenir les consentements ou bases applicables lorsque requis.
Accès internes
Déterminer quels employés peuvent envoyer, recevoir ou consulter les documents et gérer les accès.
Durées de conservation
Définir les durées selon ses obligations légales, réglementaires et opérationnelles propres.
Évaluation fournisseur
Effectuer l'analyse de risque, l'EFVP ou toute évaluation requise selon son contexte organisationnel.
Configuration
Utiliser les paramètres de sécurité disponibles de façon appropriée — authentification, périodes d'expiration et accès.
Questions fréquentes
Réponses rapides pour les équipes TI et conformité
Documentation disponible sur demande
Documents complémentaires recommandés
DPA — Entente de traitement des données
Rôles, responsabilités, mesures de sécurité, sous-traitants, incidents, localisation, audit, conservation et loi applicable (Québec).
Liste des sous-traitants
Liste des fournisseurs impliqués dans l'exploitation du service, leurs rôles et les localisations pertinentes.
Calendrier de conservation
Durées applicables aux documents, liens, journaux, données d'authentification, facturation et sauvegardes.
Fiche architecture et flux de données
Schéma simplifié des flux entre l'utilisateur Outlook, doclinc, AWS, le destinataire et les services d'authentification.
Réponses aux questionnaires de sécurité
Réponses standardisées aux questions fréquentes des équipes TI, conformité et approvisionnement.
Références officielles
Sources utilisées pour encadrer les formulations
Questions ou demandes de documentation ?
Pour obtenir un DPA, un questionnaire de sécurité rempli ou toute documentation complémentaire, contactez notre responsable de la protection des renseignements personnels.
