Résidence des données

AWS Canada
(ca-central-1)

Alignement réglementaire

LPRPDE (PIPEDA) · Loi 25
RGPD · CCPA

Chiffrement

AES-256 au repos
TLS 1.2+ en transit

Responsable de la protection des données

Désigné
et joignable

Table des matières

  1. Notre posture de sécurité
  2. Résidence et souveraineté des données
  3. Alignement réglementaire
  4. Architecture de sécurité
  5. Contrôles d'accès et authentification
  6. Sous-traitants
  7. Cycle de vie et conservation des données
  8. Gouvernance des modèles et auditabilité
  9. Réponse aux incidents
  10. Continuité des activités
  11. Certifications et feuille de route
  12. Divulgation des vulnérabilités
  13. Joindre le responsable de la protection des données

1. Notre posture de sécurité

Master Art Index évolue à l'intersection de l'évaluation d'actifs illiquides et des marchés de capitaux institutionnels. Nos utilisateurs (banques privées, assureurs, maisons de vente aux enchères, prêteurs et bureaux de gestion familiale) nous confient des données qui informent directement les décisions relatives aux garanties, la souscription et l'évaluation des portefeuilles à la valeur de marché. Nous traitons cette confiance comme une contrainte de conception non négociable.

Notre programme de sécurité s'articule autour de cinq principes : minimisation des données, accès refusé par défaut, défense en profondeur, auditabilité et gouvernance transparente. Chaque décision architecturale, chaque relation avec un fournisseur et chaque modification de modèle est évaluée à l'aune de ces principes.

2. Résidence et souveraineté des données

Toutes les données clients sont hébergées sur l'infrastructure Amazon Web Services de la région Canada (Centre), située à Montréal (AWS ca-central-1). Ce choix est délibéré et stratégique pour trois raisons :

Les sauvegardes sont stockées chiffrées dans la même juridiction. Aucune donnée client n'est répliquée vers des régions américaines, européennes ou asiatiques sans une finalité documentée et consentie, ni sans une évaluation des facteurs relatifs à la vie privée dûment complétée.

3. Alignement réglementaire

Master Art Index est conçu pour s'aligner sur les exigences de protection des renseignements personnels des juridictions où nos utilisateurs exercent leurs activités :

Canada

Union européenne et Royaume-Uni

États-Unis

Pour les procédures opérationnelles détaillées concernant le consentement, les droits des personnes concernées, la conservation et la notification des violations, veuillez consulter notre Politique de confidentialité, qui constitue le document de référence pour l'exercice de vos droits.

4. Architecture de sécurité

Nos contrôles techniques sont organisés en quatre couches :

Chiffrement

Chiffrement AES-256 au repos pour toutes les données stockées (bases de données, sauvegardes, stockage objet). TLS 1.2 ou supérieur imposé pour toutes les données en transit. Clés de chiffrement gérées via AWS KMS avec politiques de rotation.

Isolation réseau

Charges de travail de production déployées dans des sous-réseaux VPC privés sans exposition directe à Internet. Tout le trafic entrant transite par des répartiteurs de charge gérés avec règles WAF. Trafic sortant restreint à des destinations approuvées.

Journalisation et surveillance

Journalisation centralisée des événements d'accès, des tentatives d'authentification, des appels d'inférence des modèles et des actions administratives. Garanties de conservation et d'intégrité alignées sur les meilleures pratiques d'investigation numérique.

Gestion des secrets

Aucun identifiant, clé API ou secret dans le code source. Tous les secrets sont stockés dans des coffres chiffrés avec pistes d'audit et jetons d'accès à portée limitée. Rotation imposée selon un calendrier établi.

5. Contrôles d'accès et authentification

L'accès aux systèmes de production suit un strict principe du moindre privilège. Aucun membre de l'équipe ne dispose d'un accès permanent à la production ; les accès élevés sont accordés temporairement, journalisés et révisés.

6. Sous-traitants

Conformément à l'article 28 du RGPD et aux exigences de transparence de la Loi 25 du Québec, nous divulguons la liste complète des tiers qui traitent des données personnelles ou des données clients en notre nom. Les sous-traitants sont liés par des ententes écrites de traitement des données exigeant des niveaux de protection équivalents.

Sous-traitant Finalité Localisation des données
Amazon Web ServicesInfrastructure et hébergement Charges de travail de production, bases de données, sauvegardes, stockage objet et gestion chiffrée des clés pour la plateforme Master Art Index. Canada
(ca-central-1)
Anthropic PBCInférence de modèle vision-langage Extraction sémantique des attributs visuels et iconographiques à partir des images d'œuvres, dans le cadre du pipeline Estimateur-Auditeur-Expert. Les entrées se limitent à l'image et aux métadonnées publiques ; aucune donnée personnelle n'est transmise. États-Unis
Netlify Inc.Hébergement du site et traitement des formulaires Diffusion du site vitrine, CDN d'actifs statiques et capture initiale des soumissions du formulaire d'accès à la version bêta. Les soumissions sont récupérées et traitées au sein de notre infrastructure. États-Unis
Microsoft Corporation (Microsoft 365)E-mail professionnel et collaboration E-mail professionnel, collaboration documentaire et services de calendrier pour l'équipe Master Art Index. Assujetti aux engagements de protection des données d'entreprise de Microsoft. Multirégion
(UE et États-Unis offerts)

Nous aviserons les utilisateurs actifs de tout changement important à cette liste de sous-traitants au moins 30 jours avant sa prise d'effet. Lorsqu'un changement de sous-traitant crée un transfert transfrontalier non divulgué auparavant, nous réaliserons une nouvelle évaluation des facteurs relatifs à la vie privée en vertu de la Loi 25 du Québec avant sa mise en œuvre.

7. Cycle de vie et conservation des données

Nous concevons chaque flux de données autour d'une réponse claire à quatre questions : pourquoi en avons-nous besoin, qui peut y accéder, combien de temps les conservons-nous et comment sont-elles détruites ?

Collecte

Nous recueillons uniquement les données strictement nécessaires pour fournir le service ou qualifier l'accès. Nous ne demandons jamais d'identifiants gouvernementaux, de données de cartes de paiement, d'identifiants bancaires ni de données sensibles de catégories particulières au sens de l'article 9 du RGPD.

Traitement

Les images d'œuvres et les métadonnées soumises pour évaluation sont traitées par notre pipeline Estimateur-Auditeur-Expert. Les images transmises à notre sous-traitant de modèle vision-langage se limitent au contexte minimal requis pour l'évaluation et ne sont pas conservées par le sous-traitant à des fins d'entraînement.

Conservation

Destruction

À l'expiration de la période de conservation ou sur demande de l'utilisateur, les données personnelles sont détruites de façon permanente par effacement cryptographique ou réécriture, conformément aux lignes directrices NIST SP 800-88 sur l'assainissement des supports. Les copies de sauvegarde sont purgées au cycle de rotation planifié suivant.

8. Gouvernance des modèles et auditabilité

Pour un déploiement institutionnel, un modèle d'évaluation n'est pas qu'un simple logiciel : c'est un système d'aide à la décision dont les résultats peuvent influencer l'allocation de capital, les ratios prêt-valeur et la souscription. Nous concevons la plateforme Master Art Index pour l'aligner sur la directive SR 11-7 de la Réserve fédérale sur la gestion du risque de modèle (applicable aux institutions financières américaines) et sur la ligne directrice E-23 du Bureau du surintendant des institutions financières (BSIF) sur la gestion du risque de modèle à l'échelle de l'entreprise (applicable aux institutions financières canadiennes sous réglementation fédérale).

Documentation des modèles

Chaque version de modèle en production est documentée avec la provenance de ses données d'entraînement, les étapes d'ingénierie des caractéristiques, les cohortes de validation, les mesures de performance et les limites connues. L'architecture Estimateur-Auditeur-Expert est décrite en détail dans notre article de recherche (à paraître sur arXiv et soumis à l'évaluation par les pairs).

Suivi de la performance

Nous surveillons en continu la performance des modèles par cohortes (première vente ou revente, par artiste, par mouvement, par sujet) afin de détecter toute dérive. L'analyse des résidus par artiste et par sujet est mise à la disposition des clients institutionnels dans le cadre de l'offre standard de rapports, à l'appui de leur propre validation indépendante des modèles.

Supervision humaine

L'architecture Estimateur-Auditeur-Expert est explicitement conçue pour maintenir une couche interprétable par l'humain entre la base de référence fondée sur les pairs et l'évaluation finale. Les clients institutionnels peuvent inspecter les sélections de pairs, l'importance des caractéristiques et les décisions de seuil qui déclenchent l'audit visuel, ce qui permet une revue humaine significative.

Limites connues

Nous divulguons publiquement les biais de performance connus, notamment une légère sous-estimation dans les segments contemporains à forte vélocité (comme le Pop Art) et une légère surestimation dans les mouvements traditionnels (comme le baroque et le rococo). Nous recommandons des flux de travail hybrides, combinant le résultat de Master Art Index et la revue d'un évaluateur traditionnel, pour les œuvres de maîtres anciens et antérieures à 1900, où notre ensemble de données est le moins représentatif.

9. Réponse aux incidents

Nous maintenons un plan de réponse aux incidents documenté couvrant la détection, le confinement, l'éradication, le rétablissement et la revue post-incident. En cas d'incident touchant la confidentialité, l'intégrité ou la disponibilité :

10. Continuité des activités et reprise après sinistre

Nous exploitons une redondance sur plusieurs zones de disponibilité au sein de notre région AWS principale. Des sauvegardes automatisées de toutes les données de production sont effectuées en continu, avec des vérifications d'intégrité et des exercices de restauration menés régulièrement. Les objectifs de temps de rétablissement (RTO) et de point de rétablissement (RPO) sont fixés proportionnellement à la criticité de chaque système et documentés à l'interne.

11. Certifications et feuille de route

Nous croyons en une divulgation honnête de notre position sur le chemin de la certification formelle. Master Art Index est au début de sa phase bêta, et nous préférons obtenir les certifications au bon moment plutôt que de surestimer notre statut actuel.

Statut actuel

Feuille de route

Nous nous engageons à obtenir la certification SOC 2 Type II à mesure que la plateforme gagne en maturité et que nos premiers clients institutionnels sont intégrés. Le moment sera dicté par la demande des clients et la préparation opérationnelle plutôt que par un calendrier marketing. Les clients d'entreprise qui évaluent Master Art Index peuvent demander une lettre d'intention visant SOC 2 dans le cadre de leur diligence raisonnable à l'égard des fournisseurs.

12. Divulgation des vulnérabilités

Nous accueillons favorablement la recherche en sécurité menée de bonne foi. Si vous croyez avoir découvert une vulnérabilité de sécurité dans un service de Master Art Index, veuillez nous contacter directement à security@masterartindex.com plutôt que de la divulguer publiquement.

Nous nous engageons à accuser réception des signalements dans les 5 jours ouvrables, à tenir les chercheurs informés de l'avancement de la remédiation et à ne pas intenter de poursuites contre les chercheurs qui agissent de bonne foi, respectent la vie privée de nos utilisateurs et évitent l'exfiltration de données ou la perturbation du service.

13. Joindre le responsable de la protection des données

Master Art Index a désigné un responsable de la protection des données, chargé de superviser la conformité aux réglementations sur la protection des renseignements personnels et de servir de point de contact unique pour les personnes concernées, les autorités de contrôle et les équipes de sécurité d'entreprise.

Responsable de la protection des données

Emmanuel Boursin

Responsable de la protection des données, Master Art Index Inc.

E-mail : privacy@masterartindex.com

Juridiction : province de Québec, Canada

Pour les vulnérabilités de sécurité, veuillez utiliser security@masterartindex.com.

Si vous êtes une équipe de sécurité d'entreprise menant une diligence raisonnable à l'égard de vos fournisseurs, nous fournissons volontiers, sur demande, des questionnaires de sécurité remplis, des documents de survol architectural et des appels de référence.