La confiance se construit, elle ne se promet pas. Cette page couvre comment nous protégeons vos données, comment nous nous conformons aux lois nord-américaines et internationales sur la vie privée, et comment lire le journal d'audit quand vous devez savoir ce qui s'est passé.
Où vivent vos données
SENTINEL est hébergé au Canada par défaut. Les données de votre concession sont stockées au Québec, avec des sauvegardes chiffrées dans une autre région canadienne. Nous ne déplaçons pas les données hors du Canada sans votre consentement explicite et écrit.
Chiffrement
- En transit — TLS 1.3 sur chaque connexion, y compris le trafic interne service-à-service.
- Au repos — AES-256 sur toutes les données stockées, avec isolation de clé par locataire. Les sauvegardes de base de données sont chiffrées avec des clés séparées, alternées chaque trimestre.
Isolation des locataires
Chaque enregistrement a un company_id. Chaque requête de base de données passe par des politiques Row Level Security qui imposent l'isolation des locataires au niveau de la base de données — pas seulement dans le code applicatif. Un bug dans une fonctionnalité ne peut pas exposer les données d'une autre concession.
Authentification
- Authentification unique via Google, Microsoft et Apple
- Double authentification TOTP et WebAuthn (clé de sécurité) pour tous les comptes
- Liens de session renouvelés à l'heure ; les sauts géographiques suspects invalident les sessions
Le journal d'audit
Ouvrez Insights → Audit pour voir chaque action IA effectuée par votre plateforme :
- L'agent qui a agi (ex.
dispatch_brain,oracle_scoring) - La décision et ses entrées
- La signature cryptographique
- L'humain qui l'a approuvée (le cas échéant)
Les entrées d'audit sont en append-only. Elles ne peuvent pas être modifiées ni supprimées, même par un admin. Nous les conservons sept ans pour répondre aux exigences de l'industrie automobile.
Posture de conformité
- Loi 25 (Québec) — Responsable de la vie privée désigné, évaluations d'impact en dossier
- LPRPDE (Canada fédéral) — Aligné, résidence des données dans la province
- RGPD (UE) — Aligné lorsque des données européennes sont en jeu
- CCPA (Californie) — Aligné pour les résidents de Californie
L'avis de confidentialité complet et la déclaration Loi 25 vivent sur /privacy et /loi-25.
Signaler une vulnérabilité
Si vous trouvez un problème de sécurité, écrivez à security@sentinel-os.ca — chiffré avec notre clé publique (liée depuis le courriel). Nous accusons réception en un jour ouvrable, et nous ne poursuivons pas les chercheurs de bonne foi.