Table des matières
- Notre posture de sécurité
- Résidence et souveraineté des données
- Alignement réglementaire
- Architecture de sécurité
- Contrôles d'accès et authentification
- Sous-traitants
- Cycle de vie et conservation des données
- Gouvernance des modèles et auditabilité
- Réponse aux incidents
- Continuité des activités
- Certifications et feuille de route
- Divulgation des vulnérabilités
- Joindre le responsable de la protection des données
1. Notre posture de sécurité
Master Art Index évolue à l'intersection de l'évaluation d'actifs illiquides et des marchés de capitaux institutionnels. Nos utilisateurs (banques privées, assureurs, maisons de vente aux enchères, prêteurs et bureaux de gestion familiale) nous confient des données qui informent directement les décisions relatives aux garanties, la souscription et l'évaluation des portefeuilles à la valeur de marché. Nous traitons cette confiance comme une contrainte de conception non négociable.
Notre programme de sécurité s'articule autour de cinq principes : minimisation des données, accès refusé par défaut, défense en profondeur, auditabilité et gouvernance transparente. Chaque décision architecturale, chaque relation avec un fournisseur et chaque modification de modèle est évaluée à l'aune de ces principes.
En termes simples : nous recueillons uniquement ce dont nous avons besoin, limitons l'accès selon le principe du moindre privilège, superposons les défenses plutôt que de dépendre d'un seul contrôle, journalisons tout ce qui compte et vous disons clairement ce que nous faisons et avec qui.
2. Résidence et souveraineté des données
Toutes les données clients sont hébergées sur l'infrastructure Amazon Web Services de la région Canada (Centre), située à Montréal (AWS ca-central-1). Ce choix est délibéré et stratégique pour trois raisons :
- Juridiction canadienne. Les données stockées dans ca-central-1 sont régies par la loi fédérale canadienne (LPRPDE) et la loi provinciale québécoise (Loi 25 et Code civil du Québec), ce qui offre un cadre juridique clair et prévisible aux personnes concernées et aux responsables du traitement.
- Non-assujettissement au CLOUD Act américain. Les données détenues dans les régions canadiennes d'AWS, pour des entités canadiennes, ne sont pas soumises à la divulgation obligatoire en vertu du Clarifying Lawful Overseas Use of Data Act des États-Unis. Ce point est déterminant pour les institutions européennes et canadiennes qui exigent explicitement une résidence des données hors des États-Unis dans leurs évaluations de fournisseurs.
- Latence et disponibilité. ca-central-1 offre une redondance sur plusieurs zones de disponibilité au Canada, assurant une haute disponibilité sans réplication transfrontalière.
Les sauvegardes sont stockées chiffrées dans la même juridiction. Aucune donnée client n'est répliquée vers des régions américaines, européennes ou asiatiques sans une finalité documentée et consentie, ni sans une évaluation des facteurs relatifs à la vie privée dûment complétée.
3. Alignement réglementaire
Master Art Index est conçu pour s'aligner sur les exigences de protection des renseignements personnels des juridictions où nos utilisateurs exercent leurs activités :
Canada
- LPRPDE : Loi sur la protection des renseignements personnels et les documents électroniques (fédérale).
- Loi 25 du Québec : Loi sur la protection des renseignements personnels dans le secteur privé (modernisée par l'ancien projet de loi 64), incluant l'exigence de mener des évaluations des facteurs relatifs à la vie privée pour les transferts transfrontaliers.
Union européenne et Royaume-Uni
- RGPD : Règlement général sur la protection des données (Règlement UE 2016/679), incluant les articles 28 (obligations du sous-traitant), 32 (sécurité du traitement) et 33 (notification des violations).
- RGPD du Royaume-Uni : applicable aux personnes concernées établies au Royaume-Uni.
États-Unis
- CCPA / CPRA : California Consumer Privacy Act, tel que modifié par le California Privacy Rights Act.
- Cadres étatiques de confidentialité financière applicables aux clients institutionnels, y compris la GLBA le cas échéant.
Pour les procédures opérationnelles détaillées concernant le consentement, les droits des personnes concernées, la conservation et la notification des violations, veuillez consulter notre Politique de confidentialité, qui constitue le document de référence pour l'exercice de vos droits.
4. Architecture de sécurité
Nos contrôles techniques sont organisés en quatre couches :
Chiffrement
Chiffrement AES-256 au repos pour toutes les données stockées (bases de données, sauvegardes, stockage objet). TLS 1.2 ou supérieur imposé pour toutes les données en transit. Clés de chiffrement gérées via AWS KMS avec politiques de rotation.
Isolation réseau
Charges de travail de production déployées dans des sous-réseaux VPC privés sans exposition directe à Internet. Tout le trafic entrant transite par des répartiteurs de charge gérés avec règles WAF. Trafic sortant restreint à des destinations approuvées.
Journalisation et surveillance
Journalisation centralisée des événements d'accès, des tentatives d'authentification, des appels d'inférence des modèles et des actions administratives. Garanties de conservation et d'intégrité alignées sur les meilleures pratiques d'investigation numérique.
Gestion des secrets
Aucun identifiant, clé API ou secret dans le code source. Tous les secrets sont stockés dans des coffres chiffrés avec pistes d'audit et jetons d'accès à portée limitée. Rotation imposée selon un calendrier établi.
5. Contrôles d'accès et authentification
L'accès aux systèmes de production suit un strict principe du moindre privilège. Aucun membre de l'équipe ne dispose d'un accès permanent à la production ; les accès élevés sont accordés temporairement, journalisés et révisés.
- L'authentification multifacteur est imposée pour tous les comptes internes, y compris le e-mail, la console cloud, le code source et les interfaces administratives.
- Le contrôle d'accès basé sur les rôles sépare les fonctions d'ingénierie, d'exploitation et de soutien. Les droits d'accès sont révisés chaque trimestre et révoqués lors d'un changement de rôle ou d'un départ.
- L'accès aux données de production est encadré par des flux d'approbation explicites. L'accès direct aux bases de données en production est désactivé par défaut et exige une justification documentée liée à un incident ou à une enquête.
- Durcissement des postes de travail. Tous les appareils des employés imposent le chiffrement intégral du disque, les mises à jour de sécurité automatiques et le verrouillage d'écran après délai d'inactivité.
6. Sous-traitants
Conformément à l'article 28 du RGPD et aux exigences de transparence de la Loi 25 du Québec, nous divulguons la liste complète des tiers qui traitent des données personnelles ou des données clients en notre nom. Les sous-traitants sont liés par des ententes écrites de traitement des données exigeant des niveaux de protection équivalents.
| Sous-traitant | Finalité | Localisation des données |
|---|---|---|
| Amazon Web ServicesInfrastructure et hébergement | Charges de travail de production, bases de données, sauvegardes, stockage objet et gestion chiffrée des clés pour la plateforme Master Art Index. | Canada (ca-central-1) |
| Anthropic PBCInférence de modèle vision-langage | Extraction sémantique des attributs visuels et iconographiques à partir des images d'œuvres, dans le cadre du pipeline Estimateur-Auditeur-Expert. Les entrées se limitent à l'image et aux métadonnées publiques ; aucune donnée personnelle n'est transmise. | États-Unis |
| Netlify Inc.Hébergement du site et traitement des formulaires | Diffusion du site vitrine, CDN d'actifs statiques et capture initiale des soumissions du formulaire d'accès à la version bêta. Les soumissions sont récupérées et traitées au sein de notre infrastructure. | États-Unis |
| Microsoft Corporation (Microsoft 365)E-mail professionnel et collaboration | E-mail professionnel, collaboration documentaire et services de calendrier pour l'équipe Master Art Index. Assujetti aux engagements de protection des données d'entreprise de Microsoft. | Multirégion (UE et États-Unis offerts) |
Nous aviserons les utilisateurs actifs de tout changement important à cette liste de sous-traitants au moins 30 jours avant sa prise d'effet. Lorsqu'un changement de sous-traitant crée un transfert transfrontalier non divulgué auparavant, nous réaliserons une nouvelle évaluation des facteurs relatifs à la vie privée en vertu de la Loi 25 du Québec avant sa mise en œuvre.
7. Cycle de vie et conservation des données
Nous concevons chaque flux de données autour d'une réponse claire à quatre questions : pourquoi en avons-nous besoin, qui peut y accéder, combien de temps les conservons-nous et comment sont-elles détruites ?
Collecte
Nous recueillons uniquement les données strictement nécessaires pour fournir le service ou qualifier l'accès. Nous ne demandons jamais d'identifiants gouvernementaux, de données de cartes de paiement, d'identifiants bancaires ni de données sensibles de catégories particulières au sens de l'article 9 du RGPD.
Traitement
Les images d'œuvres et les métadonnées soumises pour évaluation sont traitées par notre pipeline Estimateur-Auditeur-Expert. Les images transmises à notre sous-traitant de modèle vision-langage se limitent au contexte minimal requis pour l'évaluation et ne sont pas conservées par le sous-traitant à des fins d'entraînement.
Conservation
- Demandes d'accès à la version bêta : 24 mois à compter de la soumission, puis anonymisation ou destruction.
- Dossiers de clients actifs : durée de la relation commerciale plus 7 ans pour la conformité fiscale et comptable en vertu du droit canadien.
- Intrants d'évaluation (images d'œuvres et métadonnées) : conservés pendant le traitement actif et pour une période post-traitement définie, documentée dans l'entente client, puis détruits.
- Statistiques agrégées et dépersonnalisées : conservées indéfiniment pour l'amélioration des modèles, pourvu que la réidentification ne soit pas raisonnablement possible.
- Journaux techniques : jusqu'à 12 mois à des fins de sécurité et de diagnostic.
Destruction
À l'expiration de la période de conservation ou sur demande de l'utilisateur, les données personnelles sont détruites de façon permanente par effacement cryptographique ou réécriture, conformément aux lignes directrices NIST SP 800-88 sur l'assainissement des supports. Les copies de sauvegarde sont purgées au cycle de rotation planifié suivant.
8. Gouvernance des modèles et auditabilité
Pour un déploiement institutionnel, un modèle d'évaluation n'est pas qu'un simple logiciel : c'est un système d'aide à la décision dont les résultats peuvent influencer l'allocation de capital, les ratios prêt-valeur et la souscription. Nous concevons la plateforme Master Art Index pour l'aligner sur la directive SR 11-7 de la Réserve fédérale sur la gestion du risque de modèle (applicable aux institutions financières américaines) et sur la ligne directrice E-23 du Bureau du surintendant des institutions financières (BSIF) sur la gestion du risque de modèle à l'échelle de l'entreprise (applicable aux institutions financières canadiennes sous réglementation fédérale).
Documentation des modèles
Chaque version de modèle en production est documentée avec la provenance de ses données d'entraînement, les étapes d'ingénierie des caractéristiques, les cohortes de validation, les mesures de performance et les limites connues. L'architecture Estimateur-Auditeur-Expert est décrite en détail dans notre article de recherche (à paraître sur arXiv et soumis à l'évaluation par les pairs).
Suivi de la performance
Nous surveillons en continu la performance des modèles par cohortes (première vente ou revente, par artiste, par mouvement, par sujet) afin de détecter toute dérive. L'analyse des résidus par artiste et par sujet est mise à la disposition des clients institutionnels dans le cadre de l'offre standard de rapports, à l'appui de leur propre validation indépendante des modèles.
Supervision humaine
L'architecture Estimateur-Auditeur-Expert est explicitement conçue pour maintenir une couche interprétable par l'humain entre la base de référence fondée sur les pairs et l'évaluation finale. Les clients institutionnels peuvent inspecter les sélections de pairs, l'importance des caractéristiques et les décisions de seuil qui déclenchent l'audit visuel, ce qui permet une revue humaine significative.
Limites connues
Nous divulguons publiquement les biais de performance connus, notamment une légère sous-estimation dans les segments contemporains à forte vélocité (comme le Pop Art) et une légère surestimation dans les mouvements traditionnels (comme le baroque et le rococo). Nous recommandons des flux de travail hybrides, combinant le résultat de Master Art Index et la revue d'un évaluateur traditionnel, pour les œuvres de maîtres anciens et antérieures à 1900, où notre ensemble de données est le moins représentatif.
9. Réponse aux incidents
Nous maintenons un plan de réponse aux incidents documenté couvrant la détection, le confinement, l'éradication, le rétablissement et la revue post-incident. En cas d'incident touchant la confidentialité, l'intégrité ou la disponibilité :
- Le confinement est amorcé dans les heures suivant la détection, avec une chaîne de commandement claire.
- Notification réglementaire : lorsqu'un incident de confidentialité présente un risque de préjudice sérieux, nous avisons la Commission d'accès à l'information du Québec comme l'exige la Loi 25, ainsi que les autorités de contrôle concernées dans les autres juridictions pertinentes.
- Notification des utilisateurs : les personnes concernées touchées sont avisées sans délai injustifié, en conformité avec l'article 33 du RGPD (fenêtre de notification de 72 heures pour les sous-traitants).
- Revue post-incident : chaque incident fait l'objet d'une analyse des causes profondes et d'une feuille de route de remédiation, documentées et conservées.
10. Continuité des activités et reprise après sinistre
Nous exploitons une redondance sur plusieurs zones de disponibilité au sein de notre région AWS principale. Des sauvegardes automatisées de toutes les données de production sont effectuées en continu, avec des vérifications d'intégrité et des exercices de restauration menés régulièrement. Les objectifs de temps de rétablissement (RTO) et de point de rétablissement (RPO) sont fixés proportionnellement à la criticité de chaque système et documentés à l'interne.
11. Certifications et feuille de route
Nous croyons en une divulgation honnête de notre position sur le chemin de la certification formelle. Master Art Index est au début de sa phase bêta, et nous préférons obtenir les certifications au bon moment plutôt que de surestimer notre statut actuel.
Statut actuel
- Aucune certification formelle SOC 2 ou ISO 27001 à ce jour. Nos contrôles sont conçus selon les Trust Services Criteria (sécurité, disponibilité, confidentialité) et les familles de contrôles ISO 27002, mais nous n'avons pas encore complété d'audit formel par un tiers.
- Des évaluations des facteurs relatifs à la vie privée sont réalisées pour chaque nouveau flux de données transfrontalier, en conformité avec la Loi 25 du Québec.
- Des tests de contrôles internes sont menés selon un calendrier établi, avec constats documentés et remédiation.
Feuille de route
Nous nous engageons à obtenir la certification SOC 2 Type II à mesure que la plateforme gagne en maturité et que nos premiers clients institutionnels sont intégrés. Le moment sera dicté par la demande des clients et la préparation opérationnelle plutôt que par un calendrier marketing. Les clients d'entreprise qui évaluent Master Art Index peuvent demander une lettre d'intention visant SOC 2 dans le cadre de leur diligence raisonnable à l'égard des fournisseurs.
Pourquoi nous ne revendiquons pas des certifications que nous n'avons pas : exagérer sa conformité constitue une forme de fausse représentation qui crée un risque juridique et réputationnel, pour nous comme pour nos clients. Si vous avez besoin d'un rapport SOC 2 formel aujourd'hui, nous vous dirons honnêtement que nous n'en avons pas encore, et nous travaillerons avec vous sur des mécanismes d'assurance de remplacement, comme des questionnaires de sécurité remplis, des revues architecturales ou des lettres de transition.
12. Divulgation des vulnérabilités
Nous accueillons favorablement la recherche en sécurité menée de bonne foi. Si vous croyez avoir découvert une vulnérabilité de sécurité dans un service de Master Art Index, veuillez nous contacter directement à security@masterartindex.com plutôt que de la divulguer publiquement.
Nous nous engageons à accuser réception des signalements dans les 5 jours ouvrables, à tenir les chercheurs informés de l'avancement de la remédiation et à ne pas intenter de poursuites contre les chercheurs qui agissent de bonne foi, respectent la vie privée de nos utilisateurs et évitent l'exfiltration de données ou la perturbation du service.
13. Joindre le responsable de la protection des données
Master Art Index a désigné un responsable de la protection des données, chargé de superviser la conformité aux réglementations sur la protection des renseignements personnels et de servir de point de contact unique pour les personnes concernées, les autorités de contrôle et les équipes de sécurité d'entreprise.
Responsable de la protection des données
Emmanuel Boursin
Responsable de la protection des données, Master Art Index Inc.
E-mail : privacy@masterartindex.com
Juridiction : province de Québec, Canada
Pour les vulnérabilités de sécurité, veuillez utiliser security@masterartindex.com.
Si vous êtes une équipe de sécurité d'entreprise menant une diligence raisonnable à l'égard de vos fournisseurs, nous fournissons volontiers, sur demande, des questionnaires de sécurité remplis, des documents de survol architectural et des appels de référence.