Politique de consignation des événements
Comment nous journalisons les événements critiques, combien de temps les journaux sont conservés, et qui peut y accéder.
Dernière mise à jour : avril 2026
1. Objectifs de la consignation
La consignation des événements chez LS2 Innovation sert trois objectifs :
- Sécurité — détecter et investiguer les accès non autorisés ou anormaux.
- Audit — fournir aux institutions clientes les preuves nécessaires à leurs propres audits de conformité.
- Diagnostic — résoudre les incidents techniques rapidement sans exposer les données utilisateurs.
2. Événements consignés
Nos produits consignent, au minimum :
- Authentifications (réussies et échouées) et changements de mot de passe.
- Accès aux données sensibles (lectures de listes d'étudiants, exports).
- Écritures dans les systèmes clients (créations de classes, synchronisations d'inscriptions).
- Changements de configuration des intégrations (ajout/retrait d'une connexion PGI).
- Changements de permissions et de rôles dans les panneaux d'administration.
- Erreurs système et exceptions non récupérées.
3. Contenu des journaux
Chaque événement consigné contient :
- Horodatage UTC avec précision à la milliseconde.
- Identifiant utilisateur ou identifiant de service (jamais le mot de passe).
- Adresse IP source (masquée après 30 jours).
- Action effectuée et identifiant de ressource affectée.
- Code de résultat (succès / échec / partiel).
Les journaux ne contiennent jamais de données étudiantes en clair (noms complets, notes, adresses). Seuls les identifiants techniques des enregistrements affectés sont journalisés.
4. Conservation
- Journaux de sécurité et d'audit — conservés 24 mois.
- Journaux de diagnostic — conservés 90 jours.
- Journaux de synchronisation PGI — conservés 12 mois (configurable par l'institution cliente).
Au-delà de ces durées, les journaux sont supprimés automatiquement.
5. Accès aux journaux
Seul le personnel autorisé de LS2 Innovation peut accéder aux journaux, avec authentification multifacteur et justification consignée. Les institutions clientes ont accès à leurs propres journaux d'intégration via le panneau d'administration du produit.
6. Intégrité
Les journaux sont stockés dans un environnement séparé avec :
- Chiffrement au repos.
- Accès en écriture seule pour le système de production (append-only).
- Réplication géographique au Québec.
- Contrôles cryptographiques pour détecter toute altération rétroactive.
7. Divulgation aux autorités
LS2 Innovation ne divulgue les journaux aux autorités qu'en réponse à une demande légale valide (assignation, mandat). Les institutions clientes sont notifiées autant que permis par la loi.
8. Contact
Questions sur cette politique : info@ls2.io.