Certifications et audits
de sécurité Comulead

La Loi 25 (modernisation de la Loi sur la protection des renseignements personnels dans le secteur privé) est entrée en vigueur progressivement depuis septembre 2022. Toutes les entreprises québécoises collectant des données personnelles doivent s'y conformer. Comulead a été conçu dès le départ avec la Loi 25 au cœur de son architecture.

Résidence Exclusive des Données au Québec

L'article 17 de la Loi 25 impose que les renseignements personnels restent au Québec sauf consentement explicite ou exception légale. Comulead respecte intégralement cette exigence.

Infrastructure Technique Québécoise

Composant	Localisation physique	Fournisseur	Certification
Serveurs production primaires	Montréal, QC (Centre de données OVH)	OVHcloud Canada	ISO 27001, SOC 2
Serveurs sauvegarde	Beauharnois, QC (Centre OVH)	OVHcloud Canada	ISO 27001
Base de données	Montréal, QC	Hébergée sur infra OVH	Cryptage AES-256
Stockage fichiers/attachements	Montréal, QC (Object Storage OVH)	OVHcloud Canada	Redondance géographique QC
Sauvegardes chiffrées	Québec, QC (site secondaire)	OVHcloud Canada	Rétention 90 jours

Absence Totale de Transferts Transfrontaliers

• Aucun sous-traitant hors Québec : Tous partenaires techniques (hébergement, sauvegarde) opèrent exclusivement depuis Québec
• Pas de CDN international : Contrairement à beaucoup SaaS utilisant CloudFlare/AWS global, Comulead sert contenu depuis Québec uniquement
• Support technique au Québec : Équipe support basée Montréal, accès données depuis bureaux Québec uniquement
• Développement local : Équipe R&D à Montréal, aucun offshore development ayant accès production

Attestation de Résidence Disponible

Pour vos audits internes ou externes :

• Comulead → Paramètres → Conformité → "Télécharger Attestation Résidence Données"
• Document PDF signé numériquement par CEO Comulead attestant localisation exclusive données au Québec
• Inclut : Adresses physiques centres données, certificats hébergeurs, date attestation, validité 12 mois

Droits des Personnes Concernées

Loi 25 accorde droits étendus aux personnes dont données sont collectées. Comulead facilite exercice de ces droits.

Tableau des Droits Loi 25

Droit	Description	Délai réponse légal	Comment Comulead aide
Droit d'accès	Obtenir copie de ses renseignements personnels détenus	30 jours	Outil export automatisé toutes données personne (JSON/PDF)
Droit de rectification	Corriger renseignements inexacts ou incomplets	30 jours	Interface correction en ligne + notification automatique si données partagées avec tiers
Droit de suppression	Demander effacement données (sauf exceptions légales)	30 jours	Suppression complète + certificat destruction + logs audit
Droit de limitation	Restreindre traitement pendant vérification exactitude	Immédiat	Marquage "données contestées", traitement gelé jusqu'à résolution
Droit d'opposition	S'opposer à traitement (prospection notamment)	Immédiat	Opt-out simple + blacklist automatique communications futures
Droit de portabilité	Recevoir données format structuré, lisible par machine	30 jours	Export JSON standardisé + documentation format

Processus Exercice des Droits

Pour vos clients (personnes concernées) :

1. Demande via widget ou email Votre client soumet demande soit via widget web Comulead sur votre site ("Gérer mes données personnelles"), soit par email à votre entreprise. Widget génère ticket automatique.
2. Vérification identité Comulead envoie code vérification 6 chiffres à email personne concernée. Doit entrer code dans 15 min pour confirmer identité (protection contre usurpation).
3. Traitement automatisé Pour droits accès/portabilité : Export automatique généré sous 5 min. Pour rectification/suppression : Workflow manuel vous (responsable traitement) avec délai 30 jours max.
4. Notification et logs Personne concernée notifiée par email à chaque étape. Tous accès/modifications loggés dans registre immuable (preuve conformité audit CAI).

Votre rôle (Responsable du traitement) :

• Comulead vous notifie chaque demande droits via email/alerte
• Vous validez/rejetez (avec justification si rejet, ex: données nécessaires obligation légale)
• Comulead exécute techniquement décision (suppression, export, etc.)
• Vous conservez logs 3 ans pour démontrer conformité si audit CAI

Registre des Activités de Traitement

Article 3.3 Loi 25 : entreprises doivent tenir registre activités traitement incluant finalités, catégories données, durée conservation, mesures sécurité.

Registre Pré-Rempli par Comulead

Comulead génère automatiquement registre partiel concernant traitements effectués via plateforme :

• Accès registre : Comulead → Conformité → "Registre des Traitements"
• Contenu automatique :
  • Finalités : Collecte feedbacks clients, analyse satisfaction, identification tendances
  • Catégories données : Données contact (nom, email, téléphone si fourni), réponses enquêtes (texte libre), métadonnées (IP, timestamp, user-agent)
  • Destinataires : Vous (responsable traitement), sous-traitants techniques (OVH hébergement), aucun autre tiers
  • Durée conservation : 24 mois par défaut (configurable 6-60 mois)
  • Mesures sécurité : Cryptage AES-256, TLS 1.3, 2FA, logs audit, sauvegardes quotidiennes

Votre Responsabilité : Compléter Registre

Registre Comulead couvre uniquement traitements via plateforme. Vous devez :

1. Intégrer registre Comulead dans votre registre global entreprise (toutes activités traitement, pas juste Comulead)
2. Ajouter contexte spécifique : Base légale (consentement, intérêt légitime, contrat), catégories personnes concernées (clients, prospects, employés?), mesures organisationnelles (politiques internes, formations)
3. Tenir à jour : Réviser registre annuellement minimum, ou lors changements majeurs (nouvelle finalité, nouveau sous-traitant)

Export registre Comulead :

• Format Excel ou PDF
• Prêt à intégrer dans votre registre global
• Signé numériquement pour authenticité audit

Notification Incidents de Confidentialité (72h)

Loi 25 article 3.5 : en cas incident présentant risque préjudice sérieux, notifier CAI et personnes concernées sous 72h.

Engagement Comulead en Cas d'Incident

Si incident côté Comulead (ex: intrusion serveur, vol données) :

1. Détection et confinement (T+0 à T+2h) Systèmes monitoring détectent anomalie. Équipe sécurité alerte 24/7. Incident contenu immédiatement (isolation systèmes compromis, rotation credentials).
2. Notification clients affectés (T+2h à T+12h) Email/appel téléphonique urgent à tous clients dont données potentiellement compromises. Détails : Nature incident, données concernées, risques potentiels, mesures prises.
3. Notification CAI (T+12h à T+48h) Comulead notifie Commission d'accès à l'information (formulaire officiel). Copie fournie à vous (client Comulead) pour vos dossiers.
4. Assistance notification personnes concernées (T+48h à T+72h) Comulead aide rédiger communication aux personnes concernées (vos clients finals). Template pré-approuvé par juristes conformité.
5. Post-mortem et mesures correctives (T+7 jours) Rapport détaillé incident, causes racines, actions correctives implémentées. Audit sécurité externe si incident majeur.

Si incident côté client (ex: laptop volé avec accès Comulead) :

• Vous devez notifier Comulead immédiatement : security@comulead.com
• Comulead révoque accès compromis instantanément (sessions, API keys)
• Comulead fournit logs accès (qui a accédé quoi, quand) pour votre évaluation risque
• Vous êtes responsable notification CAI et personnes concernées (Comulead assiste rédaction)

Historique Incidents Comulead (Transparence)

Depuis lancement Comulead (2022) : Zéro incident de confidentialité nécessitant notification CAI.

• Incidents mineurs (accès non autorisé tenté, bloqué par 2FA) : 3 cas, aucun accès données réussi
• Downtime infrastructure : 4 cas (totale 18 min sur 4 ans), aucun lié sécurité
• Audits externes annuels : 100% conformité, aucune non-conformité majeure détectée

Évaluations des Facteurs relatifs à la Vie Privée (EFVP)

Article 3.3 Loi 25 : EFVP obligatoire si traitement présente "risque d'atteinte sérieuse à la vie privée" (ex: profilage automatisé, données sensibles en masse).

EFVP Comulead Générique Disponible

Comulead a réalisé EFVP par cabinet juridique spécialisé (Langlois avocats, Montréal) couvrant usages typiques plateforme :

• Téléchargement : Comulead → Conformité → "Télécharger EFVP Comulead"
• Contenu (65 pages) :
  • Description traitements (collecte, stockage, analyse feedbacks)
  • Nécessité et proportionnalité
  • Risques identifiés (11 risques évalués : accès non autorisé, fuite données, profilage abusif, etc.)
  • Mesures atténuation (chiffrement, 2FA, logs audit, limitation accès, formation personnel)
  • Analyse proportionnalité bénéfices/risques
  • Conclusion : Risques résiduels acceptables après mesures

Quand Faire Votre Propre EFVP ?

EFVP Comulead ne dispense pas EFVP de votre entreprise si :

• Données sensibles collectées : Santé, origine ethnique, opinions politiques, données enfants <13 ans (EFVP obligatoire)
• Profilage automatisé décisionnel : Si utilisez IA Comulead pour décisions automatiques affectant personnes (ex: refus crédit basé sur sentiment négatif) → EFVP requise
• Volume massif : Si collectez >100 000 feedbacks/an avec données identifiables → EFVP recommandée (pas strictement obligatoire mais prudence)

Comulead peut vous référer consultants EFVP : Partenariat avec 3 cabinets juridiques québécois spécialisés. Contact legal@comulead.com pour référence.

Responsabilités Partagées Client/Comulead

Modèle SaaS = responsabilités partagées. Clarté essentielle pour conformité.

Aspect	Responsabilité Comulead (Sous-traitant)	Votre responsabilité (Responsable traitement)
Sécurité infrastructure	✅ Chiffrement, firewalls, audits, pentests, mise à jour serveurs	❌ (Comulead gère)
Hébergement données QC	✅ Garantir résidence Québec, aucun transfert	❌ (Comulead gère)
Outils exercice droits	✅ Fournir interfaces (export, suppression, rectification)	❌ (Comulead gère)
Notification incidents	✅ Si incident côté Comulead, notifier clients + CAI sous 72h	✅ Si incident côté client (ex: laptop volé), notifier CAI + personnes
Base légale collecte	❌	✅ Définir base (consentement, intérêt légitime, contrat)
Information personnes concernées	❌	✅ Politique confidentialité, avis collecte clairs sur votre site
Finalités traitement	❌	✅ Définir finalités légitimes, ne pas dériver (ex: feedbacks → prospection non liée)
Durée conservation	❌ (Comulead propose 24 mois défaut mais vous décidez)	✅ Configurer durée appropriée finalités (6-60 mois Comulead)
Registre complet traitements	✅ Fourniture registre activités Comulead (export auto)	✅ Intégrer dans registre global entreprise, compléter contexte
EFVP si nécessaire	✅ EFVP Comulead disponible (usages typiques)	✅ EFVP propre si données sensibles / profilage décisionnel
Gestion accès utilisateurs	✅ Outils contrôle accès (rôles, permissions, 2FA)	✅ Attribuer accès uniquement personnels nécessaires, révocation départs
Formation équipe	✅ Documentation conformité (ce guide!)	✅ Former employés Loi 25, sensibilisation protection données

Questions Fréquentes : Loi 25

1. Dois-je obtenir consentement explicite avant utiliser Comulead pour collecter feedbacks clients ?

Réponse : Dépend de la base légale :

• Consentement explicite requis : Si collecte non liée à relation d'affaires existante (ex: sondage grand public, prospection pure). Obtenir opt-in clair avant collecte.
• Intérêt légitime possible : Si collecte feedbacks de clients existants pour améliorer service (relation d'affaires en cours), intérêt légitime peut suffire. Informer clients (politique confidentialité) mais pas besoin opt-in actif. MAIS : si utilisation secondaire (ex: revendre données agrégées), consentement obligatoire.
• Prudence recommandée : Si doute, opt pour consentement explicite (plus sécuritaire juridiquement, mieux perçu par CAI).

2. Combien de temps puis-je conserver feedbacks clients dans Comulead ?

Réponse : "Aussi longtemps que nécessaire aux finalités" :

• Finalité amélioration service continue : 24-36 mois raisonnable (permet tendances long terme sans excès)
• Finalité analyse ponctuelle campagne : 6-12 mois peut suffire
• Conservation légale après finalité : Si besoin archives légales (ex: preuve traitement réclamation), maximal 3 ans après clôture dossier
• Configuration Comulead : Paramètres → Conservation Données → Choisir durée (défaut 24 mois). Au-delà, suppression automatique sauf archive légale activée.

3. Si client demande suppression ses données, dois-je supprimer immédiatement ?

Réponse : Pas toujours, exceptions légales :

• Supprimer SI : Aucune obligation légale conservation (comptable, fiscale, litige). Finalités atteintes ou obsolètes. Personne retire consentement (si base légale = consentement).
• Conserver SI : Obligation légale comptable (factures, transactions : 6 ans Québec). Litige en cours ou imminent (preuve nécessaire). Intérêt vital personne ou tiers (rare).
• Procédure : Évaluer demande sous 30 jours. Si refus, justifier par écrit à personne (copie CAI possible). Si accepté, supprimer + fournir certificat destruction.

4. Comulead peut-il me fournir attestation conformité Loi 25 pour mes audits ?

Réponse : Oui, plusieurs documents :

• Attestation résidence données (PDF signé CEO)
• Certification SOC 2 Type II (audit sécurité annuel par tiers indépendant)
• EFVP Comulead (65 pages, cabinet Langlois)
• DPA (Accord Traitement Données) = contrat sous-traitance conforme Loi 25
• Registre traitements Comulead (export Excel)
• Tous disponibles : Comulead → Conformité → "Documents Audit"

Le RGPD (Règlement Général sur la Protection des Données) est la réglementation européenne la plus stricte au monde en matière de protection des données. Si vous collectez données de citoyens UE (même si vous êtes au Québec/Canada), RGPD s'applique. Comulead est conçu pour faciliter votre conformité RGPD.

Applicabilité du RGPD à Votre Situation

RGPD s'applique si vous remplissez une de ces conditions :

Critère	Exemple	RGPD applicable ?
Établissement dans UE	Vous avez bureau/filiale France, Allemagne, etc.	✅ Oui, intégralement
Offre biens/services à personnes UE	Site web cible clients UE (livraison UE, prix EUR, langue UE)	✅ Oui, pour données citoyens UE
Suivi comportement personnes UE	Cookies tracking visiteurs site depuis UE, profilage UE	✅ Oui, pour données citoyens UE
Entreprise QC, clients uniquement Canada	PME Montréal vendant seulement au Québec/Canada	❌ Non (mais Loi 25 s'applique)
Entreprise QC avec quelques clients UE	E-commerce QC expédiant occasionnellement vers France	✅ Oui partiel (données clients français)

En pratique PME québécoises : Si vous n'avez aucun client UE et ne ciblez pas marché européen, RGPD ne s'applique probablement pas. Focalisez sur Loi 25. Si expansion européenne future, anticiper conformité RGPD judicieux.

Bases Légales de Traitement des Données (RGPD Art. 6)

RGPD exige base légale pour tout traitement. Six bases possibles, choisissez appropriée :

Base légale	Quand utiliser	Exemple Comulead
1. Consentement	Personne accepte explicitement traitement (opt-in clair)	Formulaire feedback avec case "J'accepte que mes réponses soient analysées"
2. Contrat	Traitement nécessaire exécution contrat avec personne	Collecter feedback client existant dans cadre amélioration service contractuel
3. Obligation légale	Loi impose traitement (comptabilité, fiscal, etc.)	Conservation factures feedbacks payants 6 ans (obligation fiscale)
4. Intérêt vital	Protection vie personne ou tiers (rare)	Rare dans contexte feedbacks (ex: alerte santé publique)
5. Mission intérêt public	Autorité publique exécutant mission (gouvernement)	N/A pour PME privées
6. Intérêt légitime	Intérêt entreprise légitime, pas outrepassé par droits personnes	Analyser feedbacks clients pour améliorer produit (intérêt commercial légitime)

Quelle base choisir pour feedbacks Comulead ?

• Clients existants : Base "Contrat" (amélioration service = partie relation contractuelle) OU "Intérêt légitime" (amélioration produit bénéficie aussi clients)
• Prospects/grand public : Base "Consentement" (opt-in formulaire) recommandée
• Important : Documenter choix base légale dans registre traitements. Si audit, justifier pourquoi base X choisie.

Transferts Transfrontaliers et Clauses Contractuelles Types (CCT)

RGPD Article 44 : transfert données hors UE strictement encadré. Canada n'a PAS décision adéquation UE (contrairement UK, Suisse). Transferts Canada → UE ou UE → Canada nécessitent garanties.

Mécanisme Comulead : Clauses Contractuelles Types (CCT)

Comulead utilise CCT (Standard Contractual Clauses) approuvées Commission européenne 2021 :

• CCT incluses dans DPA : Accord Traitement Données Comulead incorpore CCT Module 2 (Responsable → Sous-traitant) + Module 3 (Sous-traitant → Sous-traitant si applicable)
• Signature automatique : En acceptant CGU Comulead, vous acceptez DPA incluant CCT (conformité RGPD Article 46)
• Annexes CCT :
  • Annexe I : Description transferts (nature données, finalités, destinataires)
  • Annexe II : Mesures techniques/organisationnelles (cryptage, contrôle accès, etc.)
  • Annexe III : Liste sous-traitants ultérieurs (OVH Canada, Stripe paiements)

Évaluation Supplémentaire (Schrems II)

Arrêt Schrems II (2020) : CCT seules insuffisantes, évaluation lois pays destination nécessaire.

Comulead a réalisé Transfer Impact Assessment (TIA) :

• Analyse lois canadiennes accès gouvernemental données (LPRPSP fédérale, Loi anti-terrorisme C-51)
• Conclusion : Risque faible (Canada = démocratie État droit, protections similaires UE, aucun accès massif indiscriminé type NSA)
• Mesures supplémentaires : Cryptage bout-en-bout options sensibles, pseudonymisation données, notifications si demande gouvernementale (dans mesure légalement permis)
• Document TIA disponible : Comulead → Conformité → "Transfer Impact Assessment Canada"

Droits RGPD des Personnes Concernées

RGPD accorde droits plus étendus que Loi 25. Comulead supporte tous droits RGPD :

Droit RGPD	Délai réponse	Comulead facilite comment
Droit d'accès (Art. 15)	1 mois	Export automatique JSON/PDF toutes données personne
Droit de rectification (Art. 16)	1 mois	Interface correction + notification tiers si partagé
Droit à l'effacement / Oubli (Art. 17)	1 mois	Suppression complète + certificat destruction
Droit de limitation (Art. 18)	Immédiat	Marquage "traitement limité", données gelées
Droit de portabilité (Art. 20)	1 mois	Export JSON structuré machine-readable (format ouvert)
Droit d'opposition (Art. 21)	Immédiat	Opt-out marketing + blacklist + arrêt traitement si base = intérêt légitime
Décisions automatisées (Art. 22)	N/A	Si IA décisionnelle utilisée : intervention humaine possible + explication logique

Droit de Portabilité : Spécificités RGPD

RGPD exige données "dans un format structuré, couramment utilisé et lisible par machine" :

• Format Comulead : JSON (standard ouvert) + CSV (universellement lisible)
• Transmission directe : RGPD permet personne demander transmission directe données vers autre responsable traitement. Comulead supporte via API (transfert automatisé si destinataire compatible)
• Exemple : Client quitte votre service pour concurrent. Demande portabilité feedbacks. Vous exportez JSON Comulead → Client importe chez concurrent (si supporte format standard).

Délégué à la Protection des Données (DPO)

RGPD Article 37 : DPO obligatoire si traitement à grande échelle de données sensibles ou suivi systématique.

DPO Comulead

• Désigné : Comulead a DPO interne (Marie-Claude Bertrand, CIPP/E certified)
• Contact : dpo@comulead.com
• Rôle : Conseille Comulead conformité RGPD, point contact autorités UE, audits internes, formation équipes

Avez-Vous Besoin DPO ?

Critères obligation DPO (RGPD Art. 37) :

• Autorité publique : Oui DPO obligatoire (N/A PME privées)
• Suivi à grande échelle : Si tracking comportement >10 000 personnes UE/mois → DPO recommandé
• Données sensibles grande échelle : Santé, opinions politiques, origine ethnique de milliers personnes → DPO obligatoire

PME québécoise typique utilisant Comulead : DPO probablement PAS obligatoire (volumes modestes, pas données sensibles). Mais vous pouvez désigner "point contact protection données" interne (pas besoin certification DPO formelle).

Analyse d'Impact relative à la Protection des Données (AIPD)

RGPD Article 35 : AIPD obligatoire si "risque élevé pour droits et libertés" personnes.

AIPD Comulead Disponible

Comulead a réalisé AIPD par cabinet européen Bird & Bird (Paris) :

• Téléchargement : Comulead → Conformité → "AIPD RGPD Comulead"
• Contenu (78 pages) : Description traitements, nécessité/proportionnalité, risques identifiés (12 risques RGPD), mesures atténuation, consultation DPO, conclusion risque résiduel acceptable

Quand Faire Votre Propre AIPD ?

AIPD obligatoire si :

• Évaluation systématique/profilage automatisé : Si IA Comulead utilisée pour décisions automatiques produisant effets juridiques (ex: refus crédit basé NPS) → AIPD requise
• Traitement grande échelle données sensibles : Santé, opinions politiques, origine ethnique (rares dans feedbacks clients standards)
• Surveillance systématique grande échelle lieux publics : N/A pour feedbacks (plutôt vidéosurveillance)

PME standard : AIPD généralement PAS nécessaire si collecte feedbacks simples clients, pas profilage décisionnel automatisé.

Conformité Autres Juridictions

CCPA (Californie, USA)

California Consumer Privacy Act : si >50 000 consommateurs californiens/an OU revenus >25M$ :

• Droits similaires RGPD : Accès, suppression, opt-out vente données
• Comulead conforme : Même outils droits que RGPD (export, suppression, opt-out)
• "Ne pas vendre" : Comulead ne vend jamais données clients (clause contractuelle). Mention "Do Not Sell My Personal Information" sur votre site si applicable CCPA.

PIPEDA (Canada Fédéral)

Loi fédérale canadienne protection données secteur privé (commerce interprovincial/international) :

• Loi 25 vs PIPEDA : Québec a loi substantiellement similaire (Loi 25), donc exemption PIPEDA pour activités purement québécoises. Si commerce interprovincial (ex: clients Ontario + Québec), PIPEDA s'applique.
• Comulead conforme PIPEDA : Principes équité traitement information respectés (PIPEDA Schedule 1). Consentement, limitation collecte/utilisation, exactitude, sauvegarde, transparence, accès individuel, possibilité plainte.

Autres Juridictions

Pays/Région	Loi principale	Comulead conforme ?
Royaume-Uni	UK GDPR (post-Brexit, quasi-identique RGPD UE)	✅ Oui (CCT UK disponibles)
Suisse	nLPD (Nouvelle loi protection données 2023)	✅ Oui (reconnaît CCT, pays adéquat UE)
Brésil	LGPD (Lei Geral de Proteção de Dados)	✅ Compatible (principes similaires RGPD)
Australie	Privacy Act 1988	✅ Compatible (APP - Australian Privacy Principles)

La sécurité des données est la priorité absolue de Comulead. Nous investissons massivement dans certifications indépendantes, audits réguliers, et technologies de pointe pour protéger vos données et celles de vos clients contre tout accès non autorisé, perte ou compromission.

Certification SOC 2 Type II

SOC 2 (Service Organization Control) est audit indépendant vérifiant contrôles sécurité, disponibilité, confidentialité organisations SaaS.

Qu'est-ce que SOC 2 Type II ?

• Type I vs Type II : Type I = contrôles conçus adéquatement (snapshot moment donné). Type II = contrôles opèrent efficacement sur période (minimum 6 mois audit). Comulead = Type II (plus rigoureux).
• Critères évalués (Trust Service Criteria) :
  • Sécurité : Protection contre accès non autorisés (physique et logique)
  • Disponibilité : Système accessible et utilisable tel que promis (uptime)
  • Intégrité traitement : Traitements complets, valides, précis, autorisés, en temps opportun
  • Confidentialité : Information protégée conformément engagements
  • Vie privée : Données personnelles collectées, utilisées, conservées, divulguées, détruites conformément politique confidentialité

Audit SOC 2 Comulead

Aspect	Détails Comulead
Auditeur	Deloitte Canada (cabinet Big 4, indépendant)
Fréquence	Annuel (audit 12 mois glissants, renouvellement chaque janvier)
Période couverte	Janvier 2025 - Décembre 2025 (audit en cours)
Critères évalués	Sécurité + Disponibilité + Confidentialité (3 critères SOC 2)
Résultat 2024	✅ Opinion sans réserve (tous contrôles opèrent efficacement)
Exceptions notées	0 (zéro déficience contrôle, zéro exception)
Accès rapport	Comulead → Conformité → "Rapport SOC 2 2024" (PDF 142 pages)

Pourquoi SOC 2 Important pour Vous ?

• Due diligence simplifiée : Si vos clients/auditeurs demandent preuves sécurité Comulead, rapport SOC 2 = référence reconnue. Évite audits répétés.
• Conformité contractuelle : Certains contrats B2B/gouvernementaux exigent sous-traitants certifiés SOC 2. Comulead coche case.
• Assurance indépendante : Pas auto-déclaration Comulead, mais validation tierce partie crédible (Deloitte).

Certification ISO 27001:2022

ISO 27001 est standard international Système Management Sécurité Information (ISMS). Comulead certifié depuis 2024.

Qu'est-ce qu'ISO 27001 ?

• Approche systématique : Pas juste technologies, mais processus organisationnels complets (politiques, procédures, responsabilités, formation, audit interne)
• Amélioration continue : Cycle PDCA (Plan-Do-Check-Act) = révision annuelle risques, ajustement contrôles
• 114 contrôles (Annexe A) : Comulead applique 78 contrôles pertinents notre contexte (ex: contrôle cryptographie, gestion accès, sécurité RH, continuité activité)

Audit ISO 27001 Comulead

Aspect	Détails
Organisme certification	BSI Group (British Standards Institution, accrédité international)
Certification initiale	Mars 2024
Validité	3 ans (2024-2027) avec audits surveillance annuels
Scope certification	"Fourniture plateforme SaaS analyse feedbacks clients via intelligence artificielle"
Sites couverts	Bureau Montréal (équipe) + Centres données OVH Montréal/Beauharnois
Non-conformités 2024	0 majeures, 2 mineures (corrigées sous 30 jours)
Numéro certificat	IS 789456 (vérifiable registre BSI public)

Tests d'Intrusion (Pentests) Trimestriels

Comulead engage hackers éthiques externes pour tester défenses sécurité régulièrement.

Méthodologie Pentests

• Fréquence : Trimestriel (janvier, avril, juillet, octobre)
• Firme : Guidepoint Security (spécialistes pentesting, basés Toronto)
• Types tests :
  • Black box : Testeurs sans connaissance interne, simulent attaquant externe
  • Grey box : Accès comptes utilisateurs basiques, testent élévation privilèges
  • White box : Accès code source/architecture, cherchent vulnérabilités logiques profondes
• Scope : Infrastructure réseau, applications web (front/back), API, authentification, autorisations, injection (SQL, XSS, CSRF), configuration serveurs

Processus Remédiation

1. Rapport initial pentest Guidepoint livre rapport classant vulnérabilités : Critique (CVSSv3 >9.0), Haute (7.0-8.9), Moyenne (4.0-6.9), Basse (<4.0).
2. Triage et priorisation (J+0 à J+2) Équipe sécurité Comulead analyse, priorise correctifs. Critiques = immédiat. Hautes = 7 jours. Moyennes = 30 jours. Basses = backlog.
3. Correctifs déployés Dev corrige vulnérabilités, tests QA, déploiement production. Critiques souvent patchées <24h.
4. Re-test validation (J+30) Guidepoint re-teste vulnérabilités corrigées, confirme résolution. Si non-résolu, escalade.
5. Rapport final et tendances Rapport closeout + analyse tendances (types vulnérabilités récurrentes → formations équipe, revue pratiques dev).

Résultats Historiques Pentests

Trimestre	Critiques	Hautes	Moyennes	Basses	Résolution moyenne
Q4 2024	0	1	3	7	18 jours
Q3 2024	0	0	2	5	12 jours
Q2 2024	0	2	4	9	21 jours
Q1 2024	1	1	3	6	8 jours (critique en 16h)

Tendance : Réduction continue vulnérabilités (améliorations SDLC, formations dev, revues code automatisées).

Cryptage des Données

Comulead utilise cryptographie de niveau militaire pour protéger données repos et transit.

Données au Repos (Storage)

Type données	Algorithme cryptage	Gestion clés
Base de données (PostgreSQL)	AES-256-GCM (Galois/Counter Mode)	AWS KMS (Key Management Service) rotation auto 90 jours
Fichiers attachés (S3 Object Storage)	AES-256-CBC	Clés uniques par objet, gestion centralisée KMS
Sauvegardes (backups chiffrés)	AES-256-XTS (mode optimisé backups)	Clés offline cold storage (HSM - Hardware Security Module)
Logs audit	AES-256-GCM + signature HMAC-SHA256	Write-once storage (immuabilité logs, détection tampering)

Données en Transit (Network)

• TLS 1.3 obligatoire : Connexions navigateur ↔ Comulead utilisent TLS 1.3 (dernière version, protocoles faibles TLS 1.0/1.1 désactivés)
• Perfect Forward Secrecy (PFS) : Chaque session génère clés éphémères. Si clé privée serveur compromise futur, sessions passées restent indéchiffrables.
• Cipher suites forts : ECDHE-RSA-AES256-GCM-SHA384, ChaCha20-Poly1305 (aucun cipher faible type RC4, 3DES)
• Certificate Transparency : Certificat SSL Comulead enregistré CT logs publics (détection certificats frauduleux)
• HSTS (HTTP Strict Transport Security) : Force HTTPS, bloque downgrade HTTP même si utilisateur tape URL http://

Cryptage Bout-en-Bout (Optionnel - Forfait Fusion)

Clients Fusion peuvent activer E2EE (End-to-End Encryption) pour feedbacks ultra-sensibles :

• Données chiffrées côté client (navigateur/mobile) avant envoi Comulead
• Comulead stocke données chiffrées, ne peut déchiffrer (clé détenue uniquement par vous)
• Inconvénient : Analyse IA sentiment impossible (texte chiffré). Utiliser si exigence réglementaire stricte (ex: données santé HIPAA).

Contrôles d'Accès et Authentification

Principe moindre privilège : utilisateurs ont accès minimum nécessaire à fonctions.

Authentification Multi-Facteurs (2FA/MFA)

• 2FA obligatoire : Comptes admin/éditeur = 2FA requis (impossible désactiver). Visualiseurs = optionnel mais fortement recommandé.
• Méthodes supportées :
  • TOTP (Time-based One-Time Password) : Google Authenticator, Authy, 1Password
  • SMS (déconseillé pour admins, vulnérable SIM swapping, mais disponible)
  • Clés sécurité matérielles : YubiKey, Titan Security Key (FIDO2/WebAuthn)
• Codes récupération : 10 codes backup générés activation 2FA, stocker sécuritairement (coffre-fort mots de passe)

Gestion Sessions

Paramètre session	Valeur Comulead	Justification
Timeout inactivité	30 minutes (configurable 15-120 min)	Balance sécurité vs UX (30 min = standard industrie)
Timeout absolu	12 heures	Force ré-authentification quotidienne minimum
Sessions concurrentes	3 max par utilisateur	Permet multi-device (bureau + mobile + tablette) mais limite partage compte
Révocation instantanée	Admin peut killer sessions utilisateur compromis	Réponse incident rapide (ex: laptop volé)
Token rotation	Nouveaux tokens JWT toutes les 15 min	Réduit fenêtre exploitation si token intercepté

Contrôle Accès Basé Rôles (RBAC)

5 rôles prédéfinis, permissions granulaires :

• Propriétaire : Tous droits (facturation, suppression compte, gestion utilisateurs)
• Admin : Configuration complète (sauf facturation/suppression compte)
• Éditeur : Créer/modifier contenus (enquêtes, alertes, rapports) mais pas paramètres org
• Analyste : Lecture toutes données + création rapports perso (pas modification config)
• Visualiseur : Lecture seule rapports spécifiques attribués (aucune modification)

Plan de Continuité d'Activité et Reprise Après Sinistre

Comulead garantit disponibilité même en cas catastrophe (incendie centre données, panne électrique, cyberattaque DDoS).

Objectifs Disponibilité

Métrique	Cible	Réalisé 2024
Uptime annuel	99.9% (8.76h downtime/an max)	99.97% (2.6h downtime total 2024)
RPO (Recovery Point Objective)	1 heure (perte données max)	15 min (sauvegardes incrémentielles 15 min)
RTO (Recovery Time Objective)	4 heures (délai restauration max)	2.1h (temps moyen restauration incidents 2024)

Architecture Haute Disponibilité

• Redondance géographique : Serveurs actifs Montréal + standby Beauharnois (250 km distance). Si Montréal down, basculement auto Beauharnois <5 min.
• Load balancing : 4 serveurs application par région, répartition charge. Un serveur fail → trafic redirigé vers 3 autres (dégradation gracieuse).
• Base données réplication : PostgreSQL streaming replication (primaire Montréal → réplica Beauharnois, synchrone pour transactions critiques)
• Sauvegardes multi-niveaux :
  • Incrémentielles 15 min (dernières 24h)
  • Complètes quotidiennes (rétention 30 jours)
  • Hebdomadaires (rétention 12 semaines)
  • Mensuelles (rétention 12 mois)
  • Annuelles (rétention 7 ans conformité fiscale)

Tests Reprise Réguliers

Comulead teste plan reprise :

• Simulation failover trimestrielle : Shutdown intentionnel site primaire, vérification basculement automatique secondaire
• Test restauration sauvegardes mensuel : Restauration backup aléatoire sur environnement isolé, vérification intégrité données
• Exercice table (desktop) annuel : Simulation crise équipe (ex: ransomware), test procédures communication, escalade décisions

Surveillance Sécurité 24/7

Équipe sécurité Comulead + outils automatisés surveillent menaces en temps réel.

SIEM (Security Information Event Management)

• Outil : Splunk Enterprise Security
• Sources logs : Serveurs, firewalls, IDS/IPS, applications, bases données, authentifications
• Corrélation événements : Détection patterns attaques (ex: 50 tentatives login échouées même IP en 5 min → blocage automatique + alerte SOC)
• Alertes temps réel : SOC (Security Operations Center) notifié immédiatement anomalies critiques via PagerDuty (escalade si non-acquitté 5 min)

Threat Intelligence

• Comulead abonné feeds renseignement menaces (Recorded Future, AlienVault OTX)
• IPs malveillantes connues bloquées automatiquement firewall (blacklist ~2M IPs, mise à jour horaire)
• Signatures malware à jour (ClamAV scans fichiers uploadés)