La bêta de Béluga est ouverte S'inscrire →
Retour au blogue
Conformité

Loi 25 pour les municipalités : ce que Beluga fait à votre place.

L
L'équipe Beluga ·

La Loi 25 (loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est en vigueur depuis septembre 2023. Pour une municipalité ou un OBNL, elle impose des obligations concrètes et vérifiables. Pas des vœux pieux : des contrôles.

Voici chaque obligation principale, et comment Beluga la remplit — par défaut, sans configuration.

1. Savoir où sont vos données

Obligation : documenter le lieu physique où les renseignements personnels sont hébergés et les juridictions qui s'y appliquent.

Beluga : Beauharnois, Québec, Canada. OVHcloud BHS. Une seule réponse, vérifiable. Aucun transfert transfrontalier, aucune exception.

2. Contrôler qui y accède

Obligation : mettre en place des contrôles d'accès et pouvoir démontrer qui a consulté quoi.

Beluga : authentification Keycloak OIDC, 2FA TOTP disponible, permissions RBAC par ressource (owner/admin/member/viewer), journal d'audit par organisation avec horodatage. Isolation multi-tenant stricte : un membre d'une organisation ne peut absolument pas voir les données d'une autre.

3. Retenir les données seulement le temps nécessaire

Obligation : définir et appliquer une politique de rétention.

Beluga : corbeille configurable (30 jours par défaut, ajustable pour les forfaits Entreprise), purge automatique via tâches Celery planifiées. Pour les forfaits avec retenue légale, suspension de la purge sur demande dans le cadre d'une procédure judiciaire.

4. Permettre la portabilité

Obligation : fournir à une personne copie de ses renseignements personnels dans un format structuré.

Beluga : export JSON complet du compte (courriels en MBOX, contacts en vCard, calendrier en ICS, fichiers tels quels). Un clic. Tout le compte.

5. Permettre la suppression

Obligation : permettre à une personne de faire supprimer ses renseignements.

Beluga : suppression de compte dans les paramètres, avec purge complète après la période de rétention réglementaire.

6. Notifier les incidents de sécurité

Obligation : notifier la Commission d'accès à l'information et les personnes concernées en cas de fuite.

Beluga : logs de sécurité centralisés, détection de tentatives anormales (rate limiting, brute force), et procédures de notification documentées pour les clients Entreprise.

Ce qui n'est pas dans le contrat, mais qui compte

Beluga n'utilise pas vos données pour entraîner des modèles d'IA. Beluga ne scanne pas le contenu de vos courriels pour cibler des publicités. Beluga ne revend pas vos métadonnées à des tiers. Ces phrases font partie de nos conditions d'utilisation — pas d'une promesse marketing.

Envie de reprendre le contrôle de vos données ?

Rejoindre la bêta