Catégo est un outil de conformité en matière de protection des renseignements personnels : la sécurité n'est pas une option, c'est le cœur du produit. Nous appliquons à notre propre plateforme les principes que Catégo aide nos clients à mettre en œuvre. Cette page résume les mesures de sécurité et les choix d'hébergement qui protègent vos données. Pour le détail du traitement des renseignements personnels, consultez notre politique de confidentialité.
Vos données sont hébergées dans des centres de données situés au Québec (Canada). Ce choix de résidence des données facilite votre conformité à la Loi 25 et limite l'exposition aux transferts hors Québec. Lorsqu'un sous-traitant est établi à l'extérieur du Québec, nous encadrons la communication par des mesures contractuelles appropriées et l'évaluons au regard de l'article 17 de la Loi 25. La liste de nos sous-traitants et de leurs emplacements figure dans la politique de confidentialité.
Toutes les communications avec Catégo sont chiffrées en transit au moyen de TLS/HTTPS. Les mots de passe ne sont jamais stockés en clair : ils sont conservés sous forme d'empreintes cryptographiques à sens unique. Vos données applicatives résident dans une base de données active hébergée au Québec, dont l'accès est strictement contrôlé (voir ci-dessous).
L'accès aux renseignements personnels est restreint selon le principe du moindre privilège : seules les personnes dont les fonctions le requièrent y ont accès. La double authentification (2FA) est offerte pour les comptes, et les accès administratifs sont journalisés. À l'intérieur de votre espace de travail, un journal d'audit retrace qui a consulté ou modifié vos registres et évaluations.
Les environnements sont séparés et les données de chaque organisation (tenant) sont cloisonnées. Les composants logiciels sont tenus à jour et corrigés régulièrement. Des sauvegardes quotidiennes sont réalisées afin d'assurer la continuité et la récupération des données.
Nous surveillons notre infrastructure afin de détecter et de contenir les activités anormales. En cas d'incident de confidentialité, nous prenons des mesures pour réduire le risque de préjudice, consignons l'incident à un registre et, lorsqu'un incident présente un risque de préjudice sérieux, nous avisons avec diligence la Commission d'accès à l'information (CAI) et les personnes concernées, conformément à la Loi 25.
Catégo utilise l'intelligence artificielle (les modèles Claude d'Anthropic) pour assister la rédaction : suggestions, brouillons d'EFVP et de documents. Ces sorties sont des brouillons qui doivent être révisés et validés par une personne qualifiée — elles ne constituent pas un avis juridique et ne sont jamais publiées automatiquement. Nos fournisseurs d'IA sont contractuellement tenus de ne pas entraîner leurs modèles sur vos données.
Catégo est conçu selon les exigences de la Loi 25 (Québec) et les principes reconnus de la LPRPDE (Canada) et du RGPD (Union européenne). Un responsable de la protection des renseignements personnels supervise nos pratiques, le traitement des demandes et la réponse aux incidents.
Si vous croyez avoir découvert une vulnérabilité de sécurité, nous vous invitons à nous en informer de manière responsable à support@catego.info. Nous accusons réception des signalements et y donnons suite avec diligence.
Pour toute question relative à la sécurité ou à l'hébergement, écrivez-nous à support@catego.info.