Conformité

Loi 25 et RGPD — Article 32

Hoogin couvre les obligations techniques de l'Article 32 (RGPD) et de la Loi 25 (Québec) directement dans la livraison du service. Tout n'est pas couvert : voici la cartographie honnête.

Ce que Hoogin couvre

Mesures techniques opérées en continu

Chiffrement au repos et en transit

Tous les flux opérés par Hoogin (collecte, transfert, stockage) sont chiffrés. TLS 1.2+ minimum sur les transits, AES-256 au repos.

Contrôle d'accès RBAC documenté

Trois rôles portail (Executive, Power User, Admin), audit trail complet des actions, revue trimestrielle des accès.

MFA généralisée et auditée

Statut MFA de chaque utilisateur audité en continu. Escalade automatique en cas de dérive (compte sans MFA, méthode faible).

Logs de traçabilité 90 jours

SIEM Wazuh configuré 30 jours hot, 60 jours warm. Recherche full-text, archive sur demande.

Détection et documentation des violations

Détection corrélée multi-source, post-mortem automatique. Documentation prête pour notification réglementaire.

Backup et restore testé

Tests de restauration automatisés mensuels. Alerte si KO. Politique 3-2-1 vérifiée.

Localisation des données

Hébergement OVH Canada (BHS) ou France (GRA/SBG) selon votre choix. Aucun transfert hors zone sans accord écrit.

Patching et firmware à jour

Audit continu des CVE, des firmwares (FortiGate, switchs), alertes vmalert sur dérive. Patch management en option Enterprise.

Rapport mensuel Article 32

Un rapport PDF mensuel signé, prêt à présenter à un auditeur ou à un comité de direction.

Ce que Hoogin ne couvre pas

Volet juridique et organisationnel

Hoogin est un opérateur de sécurité technique. Le volet juridique de la conformité reste de votre responsabilité (ou d'un DPO partenaire que nous pouvons recommander).

  • Registre des traitements (Article 30 RGPD)
  • Bases légales de traitement
  • Mentions d'information aux personnes concernées
  • Analyses d'impact (AIPD / DPIA)
  • Transferts hors UE/Canada (clauses contractuelles types)
  • Gestion des demandes d'exercice de droits (accès, rectification, effacement)

Spécificités Loi 25

Québec — Loi modernisant les dispositions relatives à la protection des renseignements personnels

  • Notification 72 h

    Détection rapide + post-mortem documenté = notification CAI dans les délais légaux.

  • Responsable de la protection

    Hoogin fournit la cartographie technique nécessaire au RPRP.

  • Évaluation des facteurs

    Hoogin contribue au volet technique des EFVP (chiffrement, pseudonymisation, accès).

  • Hébergement Canada

    Option d'hébergement local OVH BHS pour les organisations qui préfèrent garder leurs données au Canada.

Spécificités RGPD France

France — Règlement Général sur la Protection des Données

  • Notification 72 h CNIL

    Détection corrélée + post-mortem documenté = dossier CNIL prêt.

  • Sous-traitant Article 28

    Hoogin signe un accord de sous-traitance Article 28 standard sur demande.

  • Hébergement UE

    Option d'hébergement OVH France (GRA / SBG / RBX). Hébergeur certifié SecNumCloud disponible sur palier Enterprise.

  • Transferts hors UE

    Aucun transfert vers les États-Unis ou autre pays hors UE sans clauses contractuelles types signées.

Audit conformité ?

On peut faire un état des lieux Article 32 / Loi 25 chez vous en 5 jours ouvrés. Rapport livré, vous le gardez.

Demander un audit