Newsletter image

Subscribe to our Newsletter

Join 10k+ people to get notified about new posts, news and updates.

Do not worry we don't spam!

Choisir la langue

Français Français English English Español Español
Selectionner le theme:

Gouvernance des données

En vigueur depuis le 16 avril 2026 — Conforme à la Loi 25 du Québec et à la LPRPDE.

1. Introduction

Ce document décrit comment Orfolio gère les données tout au long de leur cycle de vie, de la collecte à la suppression, en assurant transparence, sécurité et conformité réglementaire.

2. Infrastructure et résidence des données

  • Hébergement principal : Microsoft Azure Canada (Toronto).
  • Toutes les données personnelles sont stockées exclusivement au Canada.
  • Architecture multi-locataire avec isolation logique stricte entre les comptes.

3. Contrôle d'accès

Principe du moindre privilège appliqué à tous les niveaux :

  • Administrateurs : accès limité à la configuration système, aucun accès direct au contenu utilisateur.
  • Support : accès restreint au dépannage avec journalisation explicite.
  • Développeurs : accès au staging uniquement ; la production requiert MFA et journal d'audit.
  • RPD : supervision globale des politiques et incidents.

L'authentification à deux facteurs (2FA) est obligatoire pour tous les comptes administratifs.

4. Surveillance et audits

  • Toutes les actions administratives et accès aux données sont journalisés avec horodatage.
  • Journaux conservés 6 mois minimum, examinés régulièrement.
  • Alertes automatiques sur toute tentative d'accès non autorisée.
  • Analyse automatisée des vulnérabilités en continu.

5. Sauvegardes et reprise après sinistre

  • Sauvegardes de base de données : hebdomadaires.
  • Sauvegardes du contenu utilisateur : hebdomadaires.
  • Conservation des sauvegardes : 30 jours, stockage redondant au Canada.

6. Notification des incidents

En cas de violation de données, Orfolio s'engage à :

  • Notifier les utilisateurs concernés dans les 72 heures.
  • Signaler l'incident à la Commission d'accès à l'information du Québec (CAI).
  • Fournir des informations claires sur la nature de la violation et les mesures prises.

7. Conservation et suppression

  • Abonnés actifs : durée de l'abonnement + 30 jours.
  • Comptes inactifs : 6 mois sans activité → suppression.
  • Dossiers de facturation : 7 ans.
  • Journaux d'audit : 12 mois.

Suppression définitive (production + sauvegardes) : dans les 30 jours suivant la demande.

8. Fournisseurs tiers

Tous les tiers signent un accord de traitement des données (DPA) garantissant la conformité à la Loi 25 :

  • Microsoft Azure — hébergement cloud.
  • Stripe — paiements (PCI-DSS).
  • OpenAI, Claude AI (Anthropic), Google (Gemini), DeepSeek — génération IA (choix fait par l'utilisateur).

Aucune donnée n'est vendue, louée ou partagée avec des annonceurs.

9. Vos droits

Accès, rectification, effacement, portabilité (JSON/CSV), retrait du consentement. Délai de traitement : 30 jours.

Contact : rgpd@orfolio.ca

10. Contact

Responsable de la protection des données – Studio Orfolio
Montréal, QC, Canada
Courriel : rgpd@orfolio.ca

Dernière mise à jour : 16 avril 2026