Sécurité & Conformité

Une infrastructure pensée pour le secteur public québécois.

Conforme Loi 25, hébergée au Canada, audit log immutable de 10 ans. Voici ce que nous mettons en place pour protéger vos données.

Conformité légale

Encadrement réglementaire

Loi 25

Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (RLRQ, c. P-39.1)

Domilia traite, collecte et conserve les renseignements personnels conformément aux exigences québécoises : consentement explicite, droit d'accès, droit de rectification, journalisation des incidents, hébergement au Canada, registre des évaluations de facteurs relatifs à la vie privée (ÉFVP).

PIPEDA

Loi sur la protection des renseignements personnels et les documents électroniques (Canada)

Conformité aux 10 principes équitables de protection des renseignements personnels énoncés dans la LPRPDE, applicables aux activités commerciales fédérales.

Charte QC

Charte des droits et libertés de la personne — Article 18.2

Tous nos processus de vérification d'antécédents judiciaires sont conçus autour du principe de non-discrimination : un antécédent ne peut justifier un refus que s'il a un lien avec l'emploi visé. Notre équipe applique systématiquement ce critère.

Contrôles techniques

Sécurité de bout en bout

Chiffrement au repos et en transit

AES-256-GCM pour les données sensibles (NAS, documents d'identité). TLS 1.2+ pour toutes les communications. Clés gérées via Azure Key Vault.

Hébergement Azure Canada Central

Toute l'infrastructure de production tourne sur Microsoft Azure dans la région Canada Central (Toronto) et Canada East (Québec). Aucune donnée ne traverse la frontière.

Audit log immutable

Chaque action sensible (consultation, modification, décision VAJ, accès aux données) est journalisée dans un log append-only avec verrou cryptographique. Conservation 10 ans.

RBAC granulaire

Contrôle d'accès basé sur les rôles avec permissions fines par module et par établissement. Séparation stricte des données entre établissements clients.

Authentification forte

JWT en cookies HTTP-only (pas de stockage côté client), MFA disponible, intégration SSO Microsoft Entra ID pour les organisations qui en disposent.

Sécurité applicative

Validation systématique aux frontières (Joi/Zod), protection CSRF, en-têtes de sécurité (CSP, HSTS, X-Frame-Options), rate limiting sur les endpoints publics et d'authentification.

Politique de rétention

Données conservées le strict minimum

Conformément à la Loi 25, nous appliquons une politique de purge automatique dès que la finalité initiale de la collecte est atteinte.

CatégorieDurée de conservationJustification
Demande VAJ approuvée5 ans après expiration du certificatRenouvellement périodique + traçabilité légale
Demande VAJ refusée3 ans après la décisionRecours et contestation possibles
Demande VAJ annulée / brouillon90 joursPurge automatique
Numéro d'assurance sociale (NAS)90 jours après décisionHash conservé pour déduplication, valeur claire purgée
Pièces d'identité30 jours après décisionStrict minimum nécessaire
Audit log immutable10 ansObligation légale + traçabilité

Vos droits

Ce que la Loi 25 vous garantit

Droit d'accès

Vous pouvez demander à tout moment l'accès à vos renseignements personnels conservés dans nos systèmes.

Droit de rectification

Si une information est inexacte, vous avez le droit de demander sa correction sans frais.

Droit à la portabilité

Vous pouvez recevoir une copie de vos données dans un format structuré et couramment utilisé.

Droit à l'effacement

Sous réserve des obligations légales de conservation, vous pouvez demander la suppression de vos données.

Pour exercer ces droits ou signaler un incident, contactez notre Responsable de la protection des renseignements personnels.

vie-privee@domilia.ca

Engagement de transparence

Domilia est en phase de croissance. Nous n'avons pas (encore) de certifications externes type SOC 2 Type II ou ISO 27001 — ces audits sont prévus à mesure que notre clientèle grandit. Ce que nous avons :

  • Architecture conforme aux standards (chiffrement, audit log, RBAC, hébergement Canada)
  • Évaluation des facteurs relatifs à la vie privée (ÉFVP) à jour
  • Politique de gestion d'incident documentée (notification 72 h CAI)
  • Documents disponibles sur demande pour les clients institutionnels (contrat de service, ÉFVP, registre des sous-traitants, plan de continuité)