Vos dossiers méritent une infrastructure conçue pour eux

Hébergement et résidence des données

L'ensemble de la plateforme — application web, base de données PostgreSQL, stockage de fichiers, moteur OCR, serveurs d'IA — est hébergé sur de l'infrastructure physique opérée au Québec, Canada. Aucune donnée client ne transite ni n'est stockée sur des serveurs situés à l'étranger pour les opérations normales de la plateforme.

Cette décision est structurante : elle nous permet de garantir aux courtiers et à leurs clients que les renseignements personnels demeurent soumis exclusivement au droit canadien et québécois, et ne sont pas exposés aux lois extraterritoriales étrangères (par exemple, le CLOUD Act américain).

Conformité Loi 25 et cadre légal

DocuLender est conçu pour respecter la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (communément appelée Loi 25), entrée pleinement en vigueur en septembre 2023. Concrètement :

• Consentement explicite : chaque emprunteur signe un formulaire de consentement avant le dépôt de tout document, conservé dans son dossier avec horodatage.
• Minimisation : seuls les documents nécessaires à la souscription d'une hypothèque sont demandés, via une liste de vérification (checklist) adaptée à chaque type de dossier.
• Droit d'accès et de rectification : chaque client peut consulter, par l'intermédiaire de son courtier, les documents qu'il a transmis et en demander la suppression.
• Journalisation des accès : chaque consultation, téléchargement ou modification d'un document est inscrit dans le journal d'audit avec l'identité de l'utilisateur, l'heure et l'adresse IP.
• Procédure d'incident : une politique de notification existe en cas d'incident de confidentialité, conformément à l'obligation de signalement à la Commission d'accès à l'information du Québec.

Chiffrement des données

En transit

Toutes les communications entre votre navigateur, l'application et nos serveurs sont protégées par TLS 1.3 avec des suites de chiffrement modernes. Le portail emprunteur, l'interface courtier et les webhooks d'intégration utilisent exclusivement HTTPS. Les certificats sont émis et renouvelés automatiquement via Cloudflare et Let's Encrypt.

Au repos

Les fichiers déposés (PDF, images, scans) sont stockés dans un service S3 compatible (MinIO) auto-hébergé. Les colonnes sensibles de la base de données PostgreSQL (jetons d'accès, identifiants tiers, clés d'intégration) sont chiffrées au niveau applicatif via une clé maître gérée par HashiCorp Vault Transit. Cette clé maître ne quitte jamais le coffre Vault et n'est jamais exposée à l'application.

Sauvegardes

Les sauvegardes quotidiennes de la base de données et du stockage de fichiers sont chiffrées localement avec age (utilisant une clé publique) avant tout transfert vers le stockage externe redondant. La clé privée nécessaire à leur déchiffrement n'existe qu'en deux copies hors ligne : la perte de cette clé est volontairement traitée comme un événement critique, ce qui garantit que personne d'autre que l'administrateur de DocuLender ne peut lire les sauvegardes — pas même le fournisseur du stockage externe.

Authentification et contrôle d'accès

L'accès courtier repose sur des sessions cookies HTTP-only accompagnées d'un jeton anti-CSRF (double cookie). Les mots de passe sont hachés (Argon2) avec un pepper applicatif stocké dans Vault, ce qui les rend inexploitables même en cas de fuite hypothétique de la base. Une vérification par courriel est requise à l'inscription.

À l'intérieur d'un cabinet, un système de rôles (RBAC) distingue les permissions selon les responsabilités : courtier propriétaire, adjoint, lecteur en compliance, etc. Chaque appel à l'API est revérifié côté serveur — l'interface n'est jamais la seule barrière.

Le portail emprunteur n'utilise pas de compte utilisateur : chaque client reçoit un lien personnel à durée de vie limitée, signé cryptographiquement. Aucun mot de passe à retenir pour l'emprunteur, mais le jeton est révocable instantanément par le courtier en cas de besoin.

Intelligence artificielle et OCR auto-hébergés

C'est probablement la particularité la plus importante de DocuLender. La majorité des plateformes SaaS de gestion documentaire envoient les documents de leurs clients à des fournisseurs d'IA tiers (OpenAI, Anthropic, Google, Microsoft) pour la reconnaissance optique et l'extraction de données. Nous ne faisons pas cela.

Notre moteur OCR — qui lit, classe et extrait les données de chaque document déposé — tourne sur nos propres serveurs GPU au Québec. Les modèles d'intelligence artificielle utilisés pour l'analyse de cohérence, l'assistant courtier et la supervision (Qwen3.5-35B, DeepSeek-OCR) sont également hébergés et exécutés localement, sans aucun appel sortant vers des fournisseurs d'IA tiers.

Conséquence concrète : un T4, un avis de cotisation ou une pièce d'identité déposés par votre client ne sont jamais lus, indexés ou utilisés pour l'entraînement d'un modèle d'IA appartenant à une entreprise extérieure.

Cloisonnement réseau et multi-locataire

Chaque cabinet (tenant) dispose d'un espace logique isolé. Toutes les requêtes API sont filtrées côté serveur par un identifiant de cabinet dérivé de la session — jamais accepté du client — ce qui empêche par construction tout accès croisé entre cabinets.

Au niveau de l'infrastructure, les composants sont déployés sur des réseaux Docker isolés : la base de données, le coffre de secrets et le moteur OCR ne sont jamais exposés à l'Internet public. Seule la passerelle web (frontend + API) accepte des connexions externes, elle-même protégée par Cloudflare.

Intégrations tierces autorisées

Certaines fonctionnalités exigent par nature d'échanger avec un service externe : signature électronique (eZsign / eZmax), envoi de courriels (Gmail, Microsoft 365), CRM (Pipedrive), poussée de dossier vers le LOS (MortgageBoss). Pour chacune :

• Le courtier active explicitement chaque intégration via un écran de paramètres.
• Les jetons d'accès délivrés par le fournisseur tiers (OAuth) sont chiffrés et stockés dans Vault.
• Seules les données strictement nécessaires sont transmises (par exemple, un PDF à signer plutôt que l'ensemble du dossier).
• Les domaines partenaires sont placés dans une allowlistcryptographiquement vérifiée — un PDF de signature ne peut provenir que des domaines officiels du fournisseur.

Journal d'audit et traçabilité

Chaque action sensible (création de dossier, consultation de document, partage de lien, envoi en signature, modification d'une checklist, exportation) est inscrite dans un journal d'audit consultable par les administrateurs du cabinet. Le journal inclut l'identité de l'utilisateur, l'adresse IP, l'horodatage et l'empreinte de la ressource concernée.

Ce journal est conservé selon la politique de rétention applicable et reste accessible pour répondre à toute demande d'accès, de rectification ou d'enquête interne.

Qualité du logiciel

Au-delà de l'infrastructure, la sécurité dépend du code. Nos pratiques :

• Validation stricte de toutes les entrées API par schéma (Pydantic côté serveur, Zod côté navigateur).
• Protection des mutations sensibles par une clé d'idempotence pour éviter les actions dupliquées en cas de panne réseau.
• Garde anti-corruption d'encodage sur tous les écrans francophones (UTF-8 Québec strict).
• Revues de code obligatoires et tests automatisés (unitaires, intégration, bout-en-bout) avant chaque déploiement.
• Migrations de base de données versionnées et réversibles (Alembic).

Signaler une vulnérabilité

La sécurité est un travail continu. Si vous êtes chercheur en sécurité ou si vous pensez avoir identifié une faille, écrivez-nous à [email protected]. Nous accusons réception sous 48 heures ouvrables et nous engageons à communiquer de façon transparente sur la résolution.