Sécurité.

01

Résidence des données

Région primaire

Canada (Montréal et Beauharnois, Québec)

Fournisseur d’hébergement principal

OVHcloud Canada inc. — datacentres BHS (Beauharnois) et SBG (rappelé en disaster-recovery uniquement, sans données client en mode nominal)

Pas de transfert vers les États-Unis sans consentement

Aucune donnée client ni artefact ML promu n’est répliqué vers un fournisseur soumis au CLOUD Act des États-Unis sans consentement explicite de l’utilisateur, ni sortie du Canada pour le stockage persistant.

Stockage objet (artefacts ML et sauvegardes)

Stockage objet OVH BHS (Beauharnois) — bucket fonciq-backups (données client : db/, rf-docs/) ; bucket lysai-model (poids d’inférence) ; gref-lora/ et gref-training/ sous fonciq-backups. Voir docs/OVH_BHS_STORAGE.md.

Cadre réglementaire applicable : Loi 25 du Québec et LPRPDE (PIPEDA).

03

Contrôles internes

La liste ci-dessous décrit les contrôles que nous opérons en production aujourd’hui. Chaque contrôle est testé au moins annuellement dans le cadre de notre programme de revue continue, et soumis à l’audit dans le cadre de notre dossier SOC 2 Type I en cours.

05

Responsable de la protection des renseignements personnels

La Loi 25 (article 3.1) impose qu’une personne physique au sein de l’organisation soit désignée comme responsable de la protection des renseignements personnels (RPRP), avec son nom et ses coordonnées rendus publics. Cette personne est votre interlocuteur unique pour toute demande d’accès, de rectification ou d’effacement (Loi 25 §27 et §28), ainsi que pour les enquêtes de la Commission d’accès à l’information du Québec (CAI).

Nom et titre

Patrick Béland — Responsable de la protection des renseignements personnels

Courriel direct

confidentialite@fonciq.ca — réponse personnelle sous 24 heures ouvrables.

Adresse postale

4388, rue Saint-Denis, bureau 200-680, Montréal (Québec) H2J 2L1

Désignation effective depuis

10 mai 2026

La chaîne de garde de cette désignation est conservée en registre append-only dans apps/site/lib/security.ts (constante PRIVACY_OFFICER_HISTORY) : tout changement de titulaire est consigné publiquement avec préavis de 30 jours aux clients entreprise (Loi 25 §13).

Pour exercer vos droits Loi 25 §27 (accès) ou §28 (suppression), le canal officiel est décrit en détail sur la page de confidentialité.

07

Conservation et suppression

Toute donnée a une fenêtre de conservation déclarée. Au-delà, elle est purgée ou ramenée à sa version anonymisée. Les durées ci-dessous figurent dans nos contrats clients et sont opposables.

Compte de production

Tant que le compte est actif, plus 90 jours après résiliation pour permettre la récupération.

Journal d’audit immuable

7 années (alignement Chambre des notaires du Québec).

PDF bruts du Registre foncier

180 jours après extraction (au-delà, seul le hash SHA-256 et les champs structurés sont conservés).

Sauvegardes

Sauvegardes chiffrées AES-256 conservées 35 jours, restauration testée mensuellement.

09

État des services en temps réel

La page d’état publique affiche en temps réel la disponibilité des composants critiques (API, ingestion Registre foncier, Studio, attestation GREF, livraison courriels) ainsi que tout incident en cours, séparée de l’infrastructure principale pour rester accessible même pendant une panne. Les sondes externes mesurent depuis trois régions canadiennes ; les valeurs historiques de disponibilité y sont archivées.

11

Journal des mises à jour

Modifications matérielles de la présente page et du fichier canonique lib/security.ts.

1. 23 mai 2026v1.5.0

   Stockage objet OVH BHS (Beauharnois) documenté comme référentiel unique pour sauvegardes client, PDF Registre foncier, poids d’inférence Lysai et adaptateurs LoRA GREF (`docs/OVH_BHS_STORAGE.md`). Publication HF Hub et téléchargement HuggingFace en secours désormais opt-in (`FONCIQ_ALLOW_HF_HUB_PUSH`, `LYSAI_V1_ALLOW_HF_HUB`). Pipeline d’entraînement HTR pousse par défaut vers `gref-lora/` sur OVH.

2. 11 mai 2026v1.4.0

   Mise à jour de préparation au lancement (trousse Pinto Légal). Intégration de la procédure de notification d’incident de confidentialité (Loi 25 §3.5 + §63.5) via `lib/breach.ts` (v1.0) et de la procédure DSAR via `lib/dsar.ts` (v1.0). Les sous-traitants sont désormais liés par une clause de cascade d’incident de 24 heures. La posture publique sur la conformité Loi 25 est consolidée en vue de l’audit externe.

3. 11 mai 2026v1.3.3

   Création du registre interne `PIA_REGISTRY` (Loi 25 §3.3) — append-only ledger des évaluations des facteurs relatifs à la vie privée signées par le Responsable de la protection des renseignements personnels. Première entrée : `fonciq-launch-v1` couvrant la plateforme complète au lancement (GREF, score de propension, widget d’aide, recherche externe, studio professionnel, étude de cas Habitation de Champlain), signée par Patrick Béland le 2026-05-11, prochaine revue mandatoire 2028-05-11. Le document complet de l’ÉFVP est publié à `docs/legal-review-2026-05/B-loi-25-dossier/08-evaluation-facteurs-vie-privee.md` et exposé publiquement à `/.well-known/efvp/fonciq-launch-v1.pdf` après révision Pinto Légal. Le registre est typé (`PiaEntry`) et expose un helper `PIA_CURRENT` retournant l’entrée active. La page `/securite` rendra dorénavant la version courante de l’ÉVFP sans révéler son contenu — preuve d’existence et de fraîcheur sans fuite.

4. 11 mai 2026v1.3.2

   Inscription au registre interne `LEGAL_COUNSEL_HISTORY` de l’engagement signé le 8 mai 2026 avec Frédérick Pinto Légal Inc. (Westmount, Québec), avocate principale Me Cai Cheng, B.C.L., J.D. Mandat à frais fixes de 5 000 $ CA (5 748,75 $ taxes incluses) couvrant trois livrables préliminaires : (A) révision des conditions d’utilisation et de la politique de confidentialité de fonciq.ca incluant les dispositions relatives aux renseignements personnels ; (B) opinion sur la conformité à la Loi 25 ; (C) opinion sur les pratiques d’extraction et de consolidation des données web relativement au Registre foncier du Québec, au Rôle d’évaluation municipal et à BAnQ. Doctrine d’engagement adoptée : un seul envoi de dossier, une seule facturation, pas de revue v1.x successive — la cible d’envoi est le 29 mai 2026, après dépôt en fidéicommis BMO (compte de fidéicommis Pinto Légal). Posture publique conservatrice : `publiclyDisclosed = false` jusqu’à approbation par Me Cheng du wording d’affichage sur `/securite` (prévue à v1.4.0). Aucun changement aux engagements opérationnels existants — sous-traitants, RPRP (Patrick Béland), résidence des données et politiques de rétention demeurent identiques.

5. 11 mai 2026v1.3.1

   Renseignement du nom légal et de l’adresse postale du Responsable de la protection des renseignements personnels (Patrick Béland — 4388, rue Saint-Denis, bureau 200-680, Montréal (Québec) H2J 2L1) dans `PRIVACY_OFFICER_HISTORY`. La fonction `isPrivacyOfficerPlaceholder()` retourne désormais `false` : `/securite` §5 et `/confidentialite` §1 affichent le nom et l’adresse réels au lieu de la bannière « en cours de finalisation ». Aucune rupture de chaîne de garde — même titulaire désigné depuis le 2026-05-10 (v1.3.0).

6. 10 mai 2026v1.3.0

   Désignation du Responsable de la protection des renseignements personnels (Loi 25 §3.1) — registre append-only `PRIVACY_OFFICER_HISTORY` permettant l’audit de la chaîne de garde du rôle. Ajout du lien public vers la page d’état (`STATUS_PAGE_URL` → `https://status.fonciq.ca`, runbook `ops/STATUS_PAGE.md`) — disponibilité en temps réel des services, séparée de la sonde externe UptimeRobot.

7. 10 mai 2026v1.2.0

   Ajout d’un registre de sous-traitants planifiés (`PLANNED_SUB_PROCESSORS`) — Smartlead Limited (courriels sortants à froid, base LCAP §10(9)(b)) et HubSpot, Inc. (orchestration publicitaire + CRM, sans pixel client, conversions Meta via passerelle CAPI côté serveur). Les rangées sont pré-validées (résidence, base contractuelle, catégories de données) mais ne seront déplacées dans `SUB_PROCESSORS` qu’au moment où le premier événement leur est envoyé — exigence de transparence Loi 25 §3.1 codifiée dans `docs/OUTREACH.md` §10 et `docs/ADS_AND_PAID.md` §10.

8. 6 mai 2026v1.1.0

   Mise à jour : compte de service PostgreSQL « fonciq » distinct des comptes d’administration ; surveillance continue via `/healthz/invariants`, batteries nocturnes et wildcrawl ; vues matérialisées de couverture d’ingestion réservées aux opérateurs (`/studio/admin/coverage`) avec audit append-only `coverage_refresh_runs` ; précision sur l’intégration Sentry (@fonciq/observability) — échantillonnage limité, pas de PII par défaut, relecture de session désactivée.

FAQ

Questions fréquentes

Où sont hébergées les données client de fonciq ?

Toutes les données client sont hébergées au Québec, sur l’infrastructure d’OVHcloud Canada inc. (datacentres de Beauharnois et de Drummondville en disaster-recovery). Aucune donnée client n’est répliquée vers un fournisseur soumis au CLOUD Act des États-Unis sans consentement explicite. Le journal d’audit complet de chaque dossier reste également au Québec.

Êtes-vous conforme à la Loi 25 du Québec ?

Oui. fonciq a désigné Patrick Béland comme responsable de la protection des renseignements personnels (RPRP), joignable à confidentialite@fonciq.ca. Nous tenons un registre des incidents, avons complété notre évaluation des facteurs relatifs à la vie privée (ÉFVP) et publions ici notre registre des sous-traitants. Toute compromission confirmée affectant des renseignements personnels est notifiée à la Commission d’accès à l’information du Québec sous 72 heures et aux personnes concernées sous 24 heures.

Êtes-vous certifié SOC 2 ?

Pas encore. Notre audit SOC 2 Type I est en cours avec un cabinet CPA Canada accrédité ; phase d’observation depuis avril 2026, rapport attendu au quatrième trimestre 2026. Le SOC 2 Type II suivra après une période d’observation de 12 mois. Nous ne revendiquons aucune certification que nous n’avons pas.

Comment chiffrez-vous les données ?

En transit : TLS 1.3 partout, HSTS preload activé. Au repos : AES-256 (LUKS au niveau bloc + chiffrement applicatif des champs PII). Les clés sont gérées par HSM dédié avec rotation trimestrielle et séparation des rôles entre administrateur d’infrastructure et opérateur de données.

Combien de temps conservez-vous les documents originaux du Registre foncier ?

Les PDF bruts récupérés du Registre foncier sont supprimés 180 jours après leur extraction. Au-delà, seuls les champs structurés extraits et l’empreinte SHA-256 du document original sont conservés, le tout dans le journal d’audit immuable de 7 années.

Comment signaler une vulnérabilité ?

Écrivez à security@fonciq.ca avec une description et, si possible, une preuve de concept. Nous accusons réception sous 24 heures ouvrables et fournissons un plan de remédiation au déclarant sous 5 jours ouvrables. Les détails complets de notre politique de divulgation responsable sont publiés dans la section dédiée plus bas et dans /.well-known/security.txt.

Qui peut accéder aux dossiers consultés par mes utilisateurs ?

Personne en dehors de votre compte. L’équipe fonciq applique le principe du moindre privilège et l’accès en production est journalisé, MFA-obligatoire et révoqué automatiquement. Aucun investisseur, partenaire ou affilié de fonciq n’a accès aux dossiers des utilisateurs.

Avez-vous déjà subi un incident de sécurité ?

Aucun incident affectant des données client n’a été enregistré depuis la mise en service. Le registre public ci-dessous est append-only ; toute future occurrence y sera publiée avec un résumé, la durée et un lien vers le post-mortem.