Conformité de conception. Vérifiable. Auditable.
tonia filtre, audite et rédige chaque requête d'IA. Deux profils — Souverain et Frontière. Tout ce que nous affirmons est documenté ici.
Loi 25 du Québec
ÉFVP, RPRP désigné, registre d'incidents, transferts hors Canada, sanctions à l'art. 90.12.
Lire la section →2018CLOUD Act américain
Pourquoi la résidence canadienne ne règle pas la juridiction. Liste des fournisseurs visés et hors de portée.
Lire la section →6 mai 2026Enquête CAI sur ChatGPT
Quatre recommandations à OpenAI — consentement, transparence, entraînement par défaut, conservation. Notre analyse.
Lire l'analyse →Comment tonia répond à chaque obligation.
La Loi 25 du Québec (anciennement projet de loi 64) modernise la Loi sur la protection des renseignements personnels dans le secteur privé. Les obligations applicables à tonia sont les suivantes :
| Obligation | Article | Posture tonia |
|---|---|---|
| RPRP désigné | art. 3.1 | Oui — coordonnées publiées dans la politique de confidentialité |
| Registre d'incidents | art. 3.8 | Tenu depuis l'incorporation, format prêt pour la CAI |
| ÉFVP avant tout transfert hors Canada | art. 17 | Modèle 3 pages fourni aux clients Hybride |
| Consentement granulaire | art. 12 | Granulaire dans la console d'admin et dans le bandeau de témoins |
| Droit à la portabilité | art. 27 | Export structuré JSON / CSV depuis la console |
| Droit à l'oubli automatisé | art. 28.1 | Cessation automatique du traitement à l'expiration de la finalité |
Modèle d<efvp>ÉFVP</efvp>
Souverain : ÉFVP d'une page — aucune donnée sensible ne quitte le Canada. Hybride : ÉFVP de trois pages, signée une fois par votre RPRP.
Sanctions
Pour une organisation qui contrevient à la Loi 25 :
- Sanctions pénales (art. 90.12) : jusqu'à 25 M$ CAD ou 4 % du chiffre d'affaires mondial, selon le plus élevé.
- Sanctions administratives (art. 90.1) : à partir de 10 M$ CAD ou 2 % du chiffre d'affaires mondial.
- Sanctions civiles : dommages-intérêts statutaires d'au moins 1 000 $ CAD par personne touchée, sans démonstration de préjudice (art. 93.1).
Pourquoi la résidence canadienne ne suffit pas.
Le Clarifying Lawful Overseas Use of Data Act américain (2018) — le CLOUD Act — permet aux autorités américaines de contraindre toute société de droit américain à produire des données — peu importe où elles sont physiquement stockées.
« Azure OpenAI Canada Central » : l'illusion
Les serveurs Microsoft à Toronto stockent vos données au Canada. Microsoft Corp. (Washington) reste néanmoins soumise au CLOUD Act. Une sommation américaine adressée à Microsoft Corp. l'oblige à divulguer les données — y compris celles physiquement à Toronto. Si la sommation comporte une gag order, Microsoft ne peut même pas vous en informer.
Fournisseurs soumis au CLOUD Act :
- OpenAI (Delaware)
- Anthropic (Delaware)
- Google / Gemini (Delaware)
- Microsoft / Azure / Copilot (Washington) — y compris la région Canada Central
- AWS / Bedrock (Delaware)
Français et anglais.
tonia est bilingue : français et anglais. Toute la documentation, la console d'administration et l'interface utilisateur sont disponibles dans les deux langues. Pour les clients québécois, la version française fait foi en cas de divergence. Les contrats avec les clients canadiens sont signés en français, avec une traduction anglaise fournie.
SOC 2 Type II et ISO 27001.
Statut en 2026 :
- SOC 2 Type II : en cours, audit prévu Q3 2026.
- ISO 27001:2022 : en cours, audit prévu Q4 2026.
- Conformité Loi 25 : de conception (voir section 1). Validation externe par cabinet canadien en cours.