Souveraineté 100 % Québec
Application, base de données et modèles d'IA opérés au Québec, sur des infrastructures que nous contrôlons. Aucune donnée d'enfant ne transite par des services étrangers. Détails sur la page Confidentialité.
Conformité réglementaire
L'ensemble du cadre québécois applicable, respecté et documenté
Une conformité assumée, vérifiable
Une carte d'ensemble des cadres respectés, pensée pour les CPE, Bureaux coordonnateurs et organismes publics.
Yopidou est une plateforme québécoise opérée par Cérebrum ENR, responsable de la protection des renseignements personnels au sens de la Loi 25. Le dossier complet de conformité est disponible sur demande pour les CPE, Bureaux coordonnateurs, la CNESST et les autres organismes publics. Cette page présente la synthèse publique et oriente vers les ressources détaillées.
Cadres de référence respectés
Les lois, directives et normes auxquelles Yopidou se conforme
| Cadre | Portée | Statut | Score |
|---|---|---|---|
Loi 25 c. P-39.1 | Protection des renseignements personnels au Québec | Conforme | 8 / 8 |
Arrêté 2025-02 MCN 12 principes d'IA responsable | Souveraineté numérique et IA au service des organismes publics | Conforme | 12 / 12 |
Indication IA-RI-2025-003-OP 25 mesures IAG | Encadrement de l'IA générative dans les organismes publics | Conforme | 24 / 25 |
Loi G-1.03 Gouvernance des ressources informationnelles | Organismes publics (appui aux donneurs d'ordre) | Conforme | Cartographiée |
Directive SI gouvernementale Décret 1514-2021 | Sécurité de l'information des organismes publics | Conforme | Alignée |
Politique gouv. cybersécurité 14 mesures clés | Mesures de cybersécurité des organismes publics | Conforme | Mappée |
MFA Portrait périodique Ministère de la Famille | Exigences de production du portrait périodique | Conforme | 35 / 35 |
COCD Niveau 1 Cybersécurité pré-production | Audit interne et remédiation avant mise en service | Conforme | Livré pilote |
Politique de non-entraînement Engagement formel | Aucune donnée cliente utilisée pour entraîner les modèles | Conforme | Publiée |
Nos engagements clés
Quatre piliers qui guident chaque décision technique et organisationnelle
Modèles IA ouverts et auditables
Whisper (licence MIT) pour la transcription audio, Qwen (licence Apache 2.0) pour la structuration du texte. Modèles ouverts, comportements documentés, supervision humaine systématique.
Transparence vérifiable
Chaque affirmation publique est rattachée à une mesure technique ou organisationnelle documentée. Voir la posture détaillée sur la page Sécurité.
Amélioration continue
Programme de formation IAG, comité de gouvernance trimestriel, plan de continuité testé annuellement. La conformité est un chemin, pas un point d'arrivée.
Les 12 principes de l'IA responsable
Arrêté 2025-02 du Ministère de la Cybersécurité et du Numérique, appliqués à Yopidou
Respect des personnes et règle de droit
Consentement explicite, Loi 25 respectée, évaluation des facteurs vie privée à jour.
Inclusion et équité
Interface simple, accompagnement guidé, accessibilité visée WCAG 2.1 AA.
Fiabilité et robustesse
Tests continus, mode dégradé, boucle de retour avec les éducatrices.
Sécurité
Authentification forte, isolation par tenant, chiffrement TLS 1.3.
Efficience et pertinence
Modèles spécialisés, Whisper pour la transcription, Qwen pour la structuration.
Durabilité
IA frugale opérée sur GPU québécois, énergie Hydro-Québec, pas de cloud hyperscale.
Transparence
L'usage de l'IA est expliqué dès l'accueil, rappelé dans les conditions d'utilisation.
Explicabilité
Modèles ouverts et documentés, supervision humaine systématique des sorties.
Responsabilité
Gouvernance documentée, rôles définis, traçabilité des décisions.
Compétence
Formation intégrée à l'onboarding, programme de formation IAG trimestriel.
Autonomie et supervision humaine
L'éducatrice consulte et modifie tout ce que l'IA propose, en tout temps.
Souveraineté numérique
Hébergement au Québec, modèles ouverts, aucune dépendance étrangère.
Documents et registres
Les pièces du dossier de conformité, transmises sur demande aux auditeurs et aux organismes publics
Audit Loi 25 complet
Audit point par point de la Loi sur la protection des renseignements personnels, cartographie des obligations.
Disponible sur demandeÉvaluation des facteurs relatifs à la vie privée (EFVP v2.0)
Analyse des risques résiduels, mesures de mitigation et justifications pour le traitement de données de mineurs.
Disponible sur demandeRegistre des traitements
Liste exhaustive des traitements de renseignements personnels, finalités, durées de conservation.
Disponible sur demandeAudit Arrêté 2025-02 (12 principes)
Revue de conformité aux 12 principes d'IA responsable, avec implications pour les fournisseurs d'organismes publics.
Disponible sur demandePolitique d'encadrement des renseignements personnels
Politique unifiée en 10 principes, règle le cycle de vie complet des renseignements personnels.
Disponible sur demandePolitique de non-entraînement des modèles
Engagement formel, signé, que les données des clientes ne servent jamais à entraîner des modèles tiers.
Disponible sur demandeProcédures de gouvernance IAG
Comité IAG (charte et procès-verbaux), cycle de vie des systèmes IAG, matrice de risques, plan de tests de robustesse, programme de formation.
Disponible sur demandePlan de continuité (DRP)
Objectifs de reprise (RTO) et de point de reprise (RPO), scénarios, plan de restauration.
Disponible sur demandeMapping OWASP ASVS Niveau 1
Cartographie des exigences de vérification de la sécurité des applications, par composant de la plateforme.
Disponible sur demandeMatrice de responsabilités fournisseur et donneur d'ordre
Partage clair des responsabilités de sécurité entre Yopidou et l'organisme public ou le CPE client.
Disponible sur demandeAudit COCD Niveau 1
Audit cybersécurité interne pré-production, résultats consolidés sur les trois dépôts et livrables remédiés.
Disponible sur demandeRegistre formel des incidents de confidentialité
Registre tenu selon les articles 3.5 à 3.8 de la Loi 25, procédure de notification 72 heures.
Disponible sur demande
Échéances et engagements
Les prochaines révisions, exercices et rendez-vous de gouvernance
Exercice tabletop CAI, scénario 72 heures
Simulation complète d'un incident de confidentialité, avec rapport officiel à la Commission d'accès à l'information.
Échéance finale Indication IAG (IA-RI-2025-003-OP)
Tous les documents de gouvernance IAG sont déjà en place, revue finale avant l'échéance officielle.
Exercice DRP et test de restauration
Test formel du plan de continuité, restauration complète à partir des sauvegardes.
Comité de gouvernance IAG
Réunions trimestrielles du comité, procès-verbaux archivés, suivi des décisions.
Révision EFVP et refresh audit
Mise à jour annuelle de l'évaluation des facteurs relatifs à la vie privée, rafraîchissement de l'audit de conformité.
Contact et transparence
Un seul point d'entrée pour toute question de conformité, de sécurité ou de protection des données
Philippe Bourque
CEO et CTO, Cérebrum ENR
Responsable de la protection des renseignements personnels au sens de la Loi 25.
Pour aller plus loin, voir Confidentialité et Sécurité.
Politique de divulgation responsable publiée dans le fichier SECURITY.md du dépôt public.
Vous préparez un audit ou un dossier d'approbation ?
Demandez l'accès complet au dossier de conformité. Nous répondons sous un jour ouvrable aux auditeurs, CPE, Bureaux coordonnateurs et organismes publics.