Conformité légale et vie privée.
Loi 25, LPRPDE, GPP 2.4, données biométriques, souveraineté numérique. Ce document est destiné aux conseillers juridiques, responsables de la protection des renseignements personnels (DPO) et équipes TI des organismes publics québécois.
Loi modernisant la protection des renseignements personnels
| Art. 12 | Conservation limitée à la durée nécessaire aux fins de collecte |
| Art. 23 | Destruction des renseignements dont la fin est atteinte |
| Art. 25 | Droit de retrait du consentement |
| Art. 27 | Droit d'accès aux renseignements personnels |
| Art. 28 | Droit à la rectification |
| Art. 63.3 | EFVP obligatoire avant tout déploiement biométrique |
| Art. 63.5 | Notification CAI 60 jours avant mise en service — biométrie |
| Art. 70.1 | Encadrement des transferts hors Québec |
IRIS SRF-13 inclut un générateur RIVP complet (POST /api/v1/rivp-iris). Données biométriques chiffrées AES-256 au repos. Traitement local — zéro transit externe. Calendrier de rétention automatisé (GPP 2.4.6). Certificat de destruction (GPP 2.4.7).
Loi sur la protection des renseignements personnels et les documents électroniques
| Principe 4.3 | Consentement — données biométriques = catégorie sensible |
| Principe 4.5 | Limitation de la conservation |
| Principe 4.7 | Mesures de sécurité appropriées |
| Principe 4.9 | Accès aux renseignements personnels |
| Art. 10.1 | Notification obligatoire en cas d'atteinte |
Toutes les plateformes Wick appliquent le principe du besoin d'en connaître. Audit trail append-only sur chaque accès. Notification d'atteinte intégrée dans le pipeline d'alerte Vantum. Infrastructure deployable 100% CA — aucun hop US.
Données biométriques — traitement et protections spécifiques
| Traitement local | Descripteur facial (128 dim. Float32) calculé on-device — jamais transmis vers un serveur tiers |
| Rétention | Configurable 1–365 jours selon politique organisationnelle. Défaut: 90 jours. |
| Destruction | Crypto-erase sur demande ou à l'expiration automatique. Certificat GPP 2.4.7 généré. |
| Mode KGB | GPP 2.4.4 — enregistrement commence avant arrivée du sujet. Procès-verbal numérique exportable. |
| Alerte AMBER | GPP 2.4.8 — détection automatique personne disparue → Annexe C générée. |
| Anti-spoofing | Détection liveness (blink EAR < 0.22 + analyse pixel) avant toute identification. |
RIVP pré-rempli disponible via POST /api/v1/rivp-iris. Inclut notification CAI, analyse des risques, mesures d'atténuation, calendrier de révision annuelle.
Résidence des données et souveraineté numérique
| Résidence | Toutes les données restent sur infrastructure canadienne. Deployable Docker sur tout hébergeur CA. |
| AIS souverain | Connecteur SLGO/OGSL — données maritimes Saint-Laurent. Source gouvernementale canadienne. |
| Inférence locale | Modèles IA déployés localement. Zéro appel vers serveurs US (OpenAI, Azure, AWS). |
| Audit trail | Journal append-only — toute requête, tout accès, tout export consigné avec timestamp et agent. |
| PBMM path | Architecture alignée Protected B, Medium Integrity, Medium Availability (PBMM) pour qualification GC. |
Vs LogSafe / Bullseye AI : ceux-ci déidentifient les prompts mais l'inférence reste sur serveurs US. Wick = zéro transit étranger. CBSA, FINTRAC, DND, CSIS ne peuvent pas utiliser une solution dont les données passent aux USA, même déidentifiées.
Guide des pratiques policières — Ministère de la Sécurité publique
| GPP 2.4.2 | Chaîne de possession continue — hash SHA-256 rolling — Lattice SRF-17 + Trace SRF-07 |
| GPP 2.4.4 | Critères admissibilité — standard appliqué sur tous les packages judiciaires Vantum |
| GPP 2.4.5 | Divulgation Stinchcombe — POST /api/v1/divulgation |
| GPP 2.4.6 | Calendrier rétention — POST /api/v1/retention |
| GPP 2.4.7 | Certificat destruction — POST /api/v1/destruction |
| GPP 2.4.8 | Alerte AMBER — IRIS SRF-13 détection automatique personne disparue |
| GPP 2.4.9 | Crimes en série — POST /api/v1/crimes-serie — flag CCRS automatique |
Seule plateforme au Canada couvrant les 7 sections GPP 2.4 pertinentes pour la preuve numérique. Chaque section génère un document admissible en cour, avec chaîne de possession complète.
Ministère de la Sécurité publique — Alignement Wick
| Approbation tech. | Le MSP doit approuver tout outil technologique déployé dans les corps policiers du Québec (Loi sur la police, art. 48). |
| Guide GPP | Le MSP publie le Guide des pratiques policières (GPP). Wick couvre les sections 2.4.2 à 2.4.9 intégralement. |
| Directive SI | Directive sur la sécurité de l'information — MSP QC. Wick répond aux exigences de résidence des données et de chaîne de possession. |
| Biométrie | Tout déploiement biométrique dans un corps policier QC requiert approbation MSP + RIVP CAI. Wick génère le RIVP automatiquement. |
| Budget MSP | Les corps policiers municipaux peuvent accéder au programme de soutien financier MSP pour les outils technologiques homologués. |
Ce document est fourni à titre informatif. Il ne constitue pas un avis juridique. Avant tout déploiement dans un organisme public québécois, consultez votre conseiller juridique interne, votre responsable de la protection des renseignements personnels (DPO), et soumettez les évaluations requises à la Commission d'accès à l'information (CAI). Contact : dominik@qreativelab.io