GraphWarden et la Loi 25 : comment le proxy soutient vos obligations de conformité

La Loi 25 du Québec impose des obligations strictes aux organismes qui recueillent, utilisent ou communiquent des renseignements personnels, y compris ceux accessibles via Microsoft Graph. GraphWarden agit comme un point de contrôle centralisé pour minimiser les données transmises, tracer chaque accès et détenir les informations d'authentification Graph dans votre propre coffre-fort de clés Azure (Key Vault). Ce document associe les exigences clés de la Loi 25 aux capacités techniques de GraphWarden, avec les limites explicites de ce que GraphWarden ne couvre pas.

Pour qui ce document

- Tenant Microsoft 365 soumis à la Loi 25 (exploitation au Québec) - Un gabarit de politique de protection des renseignements personnels en place - Accès à l'application d'administration GraphWarden et à votre Azure Key Vault - Lecteurs visés : RSSI, responsable de l'accès aux renseignements personnels, équipe juridique et de conformité

Contexte de la Loi 25

La Loi 25 — officiellement la « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels » — a été adoptée par l'Assemblée nationale du Québec en 2021 (anciennement Projet de loi 64). Son entrée en vigueur s'est échelonnée de septembre 2022 à septembre 2024, avec des obligations graduelles pour les organismes publics et les entreprises privées exerçant au Québec. La loi modernise le régime québécois de protection des renseignements personnels en s'alignant sur les standards internationaux tout en conservant des spécificités propres au droit civil québécois.

L'autorité de contrôle est la Commission d'accès à l'information du Québec (CAI), qui reçoit les plaintes, mène les enquêtes et publie les lignes directrices. Les principales exigences touchent la désignation d'un responsable de l'accès aux renseignements personnels au sein de chaque organisme (Art. 3.1), la tenue d'un registre des incidents de confidentialité (Art. 3.5), la minimisation des renseignements collectés et conservés (Art. 5), la traçabilité des communications (Art. 8), la gestion du consentement (Art. 12–14), le droit à la portabilité (Art. 27), et l'obligation de réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) avant tout projet impliquant des renseignements personnels (Art. 22). Les sanctions administratives peuvent atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial.

Mapping Loi 25 → capacités GraphWarden

Article de la Loi 25 Capacité GraphWarden Statut Preuve technique
Art. 5 — Minimisation des renseignements personnels Filtrage des réponses Graph (Response Filter transforms) Aligned Configurer un Response Filter dans votre ruleset pour limiter les champs retournés par Graph aux seuls nécessaires à l'opération.
Art. 8 — Traçabilité et journalisation Journal d'audit HMAC-authentifié vers votre plateforme SIEM Aligned Chaque appel Graph proxifié est enregistré avec l'identité de l'application, le chemin, le statut HTTP et la latence.
Art. 3.5 — Registre des incidents de confidentialité Extraction programmée du journal d'audit Supported Exporter périodiquement le journal d'audit vers votre registre d'incidents via l'endpoint /audit HMAC.
Art. 22 — Évaluation des facteurs relatifs à la vie privée (EFVP) Configuration ruleset documentée par identité d'application Aligned Chaque identité d'application a son ruleset YAML versionné, documentant les endpoints Graph permis — un artefact direct pour l'EFVP.

Scénario concret

Un organisme public québécois exploite 12 applications SaaS intégrées à Microsoft 365. Sans GraphWarden, chaque application détient les identifiants Graph complets et peut interroger tous les endpoints Graph autorisés à son app registration — y compris des champs qui ne sont pas strictement nécessaires à son usage métier. Avec GraphWarden : 12 identités d'application distinctes, chacune avec un ruleset limitant les endpoints et les champs retournés. Un incident de sécurité sur une application n'expose que le ruleset de cette application, pas l'ensemble du tenant. Le registre d'incidents (Art. 3.5) peut extraire précisément quelles identités ont accédé à quels endpoints pendant la fenêtre d'exposition.

Hébergement et résidence des données

Mode hébergé : le proxy fonctionne dans Azure Canada Central; le plan de contrôle s'exécute dans Canada East (OVHCloud). Mode sur site (Windows Service ou Docker) : le proxy s'exécute entièrement dans votre infrastructure — aucune donnée Graph ne quitte votre environnement. Pour une conformité Loi 25, l'hébergement canadien est l'étalon-or : les données demeurent sous juridiction canadienne. Les secrets Graph (client secrets, certificats) ne quittent jamais votre Azure Key Vault : GraphWarden n'en détient que l'empreinte SHA-256 pour authentifier les appels de vos applications.

Limites explicites

GraphWarden soutient certaines obligations de la Loi 25, mais ne couvre pas l'ensemble du régime. Les éléments suivants restent sous votre responsabilité.

  • GraphWarden NE couvre PAS les exigences de consentement (Art. 12–14) — celles-ci s'appliquent à votre application, pas au proxy.
  • GraphWarden NE couvre PAS la conservation et la destruction des données (Art. 23) — votre application reste responsable des cycles de vie.
  • GraphWarden NE couvre PAS la gestion des droits des personnes concernées (Art. 27 et suivants) — accès, rectification, portabilité relèvent de votre application.
  • GraphWarden NE couvre PAS les exigences de consentement explicite pour la prise de décisions automatisée (Art. 12.1).
  • GraphWarden NE réalise PAS l'EFVP à votre place — le proxy fournit les artefacts techniques (rulesets, journaux d'audit) mais l'évaluation reste sous votre responsabilité.
  • GraphWarden NE remplace PAS votre désignation d'un responsable de l'accès aux renseignements personnels (Art. 3.1).

Préparer votre dossier EFVP avec un assistant IA

Préparer un brief de conformité Loi 25

Prépare un brief de conformité Loi 25 pour mon tenant Microsoft 365 utilisant GraphWarden.

Je dois fournir à mon comité de sécurité :
1. Quelles exigences de la Loi 25 GraphWarden aide à satisfaire (mapping article par article)
2. Quelles exigences restent sous ma responsabilité (pas couvertes par GraphWarden)
3. Quels artefacts techniques je peux extraire de GraphWarden pour mon dossier de conformité

Documentation de référence : https://graphwarden.com/llms.txt

Demande-moi :
- Combien d'applications intégrées à Microsoft Graph j'ai aujourd'hui
- Si j'ai déjà une EFVP en cours
- Mon échéance de dépôt du dossier

Reference: llms.txt

Troubleshooting

  • Le journal d'audit ne montre pas toutes les opérations Graph. Vérifier que l'identité d'application utilise bien le proxy (Get-MgContext en PowerShell, inspection du baseUrl en .NET). Un appel qui court-circuite le proxy n'est pas journalisé — voir Identités d'application.
  • Je ne trouve pas l'endpoint /audit HMAC. Voir Agent API pour la spécification HMAC et les endpoints disponibles.
  • Mon EFVP demande la géolocalisation des données — GraphWarden ne la précise pas. Voir la section Hébergement ci-dessus : en mode hébergé, le proxy est dans Azure Canada Central et le plan de contrôle dans Canada East (OVHCloud) ; en mode sur site, le traitement reste entièrement dans votre infrastructure.
  • Un de mes rulesets est plus permissif que nécessaire selon l'Art. 5. Revoir le Response Filter et réduire les champs retournés ; voir Rulesets et règles.
  • Comment produire le registre des incidents au format CAI ? Exporter le journal d'audit via l'endpoint HMAC et filtrer sur les verdicts block ou sur les correlation IDs associés à un incident connu — voir Agent API.

Ressources

Prochaines étapes

Pour une démo adaptée à votre déploiement Loi 25, contactez l'équipe GraphWarden. Parcourez les cas d'usage pour voir comment d'autres organismes soumis à la Loi 25 ont associé leurs rulesets à leur programme de responsable d'accès. Apportez à la session : votre liste d'applications intégrées à Graph, votre échéance EFVP, et le niveau de rétention audit souhaité (90 jours, 1 an, ou 7 ans).

Dernière revue :