Sécurité & confiance

Posture de sécurité de Sonocall, en langage clair. Dernière mise à jour : 2026-06-05.

🇨🇦

Résidence des données

Stockage persistant et traitement 100 % au Canada — région Google Cloud de Montréal (northamerica-northeast1) : base de données gérée, enregistrements, base de connaissances, ressources audio et calcul applicatif. Bascule automatique entre centres de données (haute disponibilité) au sein de la région ; réplique de reprise après sinistre dans une seconde région canadienne (Toronto) disponible.

Tenants de classe santé : endpoint IA régional canadien avec amendement Zero-Data-Retention disponible sur demande.

🔐

Chiffrement

  • Au repos : AES-256 (base de données gérée + stockage objet)
  • Au repos (créances) : AES-128 Fernet pour mots de passe SIP + secrets clients OIDC
  • En transit : TLS 1.2/1.3 pour tout HTTP ; WSS pour les flux audio
  • Secrets applicatifs : Google Secret Manager
  • Connexions DB : SSL imposé (mode chiffrement obligatoire)
🔑

Authentification

  • JWT avec hachage bcrypt des mots de passe
  • SSO : OIDC natif (Microsoft Entra ID + Google Workspace + générique)
  • MFA disponible (TOTP)
  • Redirection automatique vers fournisseur d'identité par domaine
🛡️

Isolation multi-tenant

Chaque endpoint API filtre architecturalement par identifiant tenant. L'accès cross-tenant est impossible par conception — imposé à la couche données.

🧱

Pare-feu applicatif & anti-malware

Pare-feu applicatif Cloud Armor (WAF) + limitation de débit par IP en façade. Architecture sans serveur (aucun serveur ni poste traditionnel à infecter) + analyse des vulnérabilités des images de conteneurs.

📜

Journaux d'audit

  • Par appel, par automatisation, par action admin
  • Événements de consentement (preuve légale Loi 25)
  • Journal d'audit de suppression (chaque suppression rétention + demande appelant)
  • Journal d'audit admin + historique de versions d'agent
💾

Sauvegardes + reprise

  • Sauvegardes DB quotidiennes, rétention 7 jours, point-in-time 7 jours
  • Synchronisation horaire stockage objet entre régions durant migrations
  • Script de sauvegarde JSON par tenant
  • RTO : ~30 min · RPO : ≤ 24 h
🤝

Sous-traitants

Au 2026-06-05 :

  • Google (Google Cloud Platform — infrastructure + IA) — DPA signée, DPIA en dossier
  • Twilio (voix + SMS) — DPA signée, DPIA en dossier
  • SendGrid (courriels transactionnels) — DPA signée, DPIA en dossier
  • Stripe (paiements et facturation — métadonnées de facturation seulement, aucune donnée d'appelant) — DPA signée, DPIA en dossier

Tous les fournisseurs sont liés par des DPAs équivalentes aux exigences de la Loi 25. Aucun n'utilise les données clients pour entraîner des modèles IA.

🚨

Réponse aux violations

Les incidents de sécurité sont notifiés à la CAI dans les 72 heures selon la Loi 25 Art. 3.5. Runbook de réponse aux incidents + contacts d'escalade en dossier. Responsable de la protection des renseignements personnels : privacy@sonotech.ai.

🛂

Certifications de conformité

Sonocall hérite des certifications GCP (SOC 2 Type II, ISO 27001, PCI DSS Niveau 1, FedRAMP). Pour les clients entreprise, nous fournissons des engagements contractuels équivalents Loi 25 via notre DPA ; pour les industries requérant des certifications directes, des options menées par partenaires (p.ex. la ISO 27001 de Kinessor) sont disponibles.

🧪

Tests d'intrusion

Feuille de route : Q3 2026 — premier pentest formel par un tiers accrédité. D'ici là, nous effectuons un scan de dépendances continu + révision de code manuelle pour les PRs sensibles à la sécurité.

Pourquoi votre choix de fournisseur engage VOTRE responsabilité

Sous la Loi 25, l'entreprise qui collecte les données (vous, le tenant) est le responsable du traitement — pas le fournisseur SaaS. Si vous utilisez un outil non conforme, la CAI vous tient responsable, peu importe que la faute soit technique chez le fournisseur.

Vous êtes obligé :

  • de signer une entente de traitement (DPA) avec chaque fournisseur (Art. 18)
  • de faire une évaluation des facteurs relatifs à la vie privée (PIA) avant tout transfert hors Québec (Art. 17)
  • de désigner un RPRP et de publier ses coordonnées (Art. 8.1)
  • d'offrir un mécanisme accessible pour exercer les droits des personnes (Art. 27-28)
  • de notifier la CAI dans les 72 h d'un incident (Art. 3.5)

Risque concret : amendes jusqu'à 25 M $ CAD ou 4 % du chiffre d'affaires mondial — frappent l'entreprise, pas le fournisseur.

La plupart des plateformes voix IA américaines ne fournissent pas : DPA spécifique au Québec, résidence des données au Canada, formulaire de droits des personnes en français, RPRP publié, moteur de rétention. Une entreprise québécoise qui les utilise est techniquement en violation — et c'est elle que la CAI poursuit en premier.

Sonocall existe précisément pour fermer cet écart : on vous donne tous les éléments contractuels et techniques pour que VOUS soyez conforme, pas juste nous.

Signaler une vulnérabilité

Vous avez trouvé un problème de sécurité ? Écrivez à security@sonotech.ai — nous répondons sous 24 heures. Merci de ne pas divulguer publiquement avant que nous ayons eu une chance raisonnable de corriger.