Réponse rapide

La Trousse globale de vérification (TGV) est la certification réglementaire du ministère de la Santé et des Services sociaux du Québec (MSSS) imposée aux produits et services technologiques (PST) qui manipulent des renseignements de santé. Le référentiel officiel publié par le Bureau de certification du MSSS (anciennement « Bureau de certification et d’homologation » ou BCH; le terme « BCH » reste utilisé dans plusieurs documents officiels) — fichier liste-criteres-TGV_v2024-06-18.xls, dernière version connue à la date de cet article — compte exactement 254 critères répartis en 6 volets :

• Sécurité : 104 critères (40,9 %)
• PRPS — Protection des renseignements personnels et de santé : 75 critères (29,5 %)
• Interopérabilité : 56 critères (22,0 %)
• Technologie : 9 critères (3,5 %)
• Performance : 7 critères (2,8 %)
• Général : 3 critères (1,2 %)

Le certificat est valide 5 ans avec renouvellement annuel par autodéclaration du fournisseur évaluée par le Bureau de certification (sous réserve d’absence de changement majeur).

Aucun référentiel international ne couvre les volets Performance, Technologie, Interopérabilité et Général, qui représentent ensemble 75 critères (29,5 % du référentiel TGV) et incluent l’arrimage au Dossier santé Québec (DSQ), l’identification des usagers via NAM/NIU/GIU, l’hébergement au Québec et l’interface française obligatoire.

Cet article :

1. décrit la structure officielle des 254 critères;
2. compare la TGV avec quatre cadres de conformité fréquemment détenus (Loi 25, HIPAA Security Rule, SOC 2, ISO 27001:2022);
3. explique pourquoi un certificat ISO 27001:2022 ne dispense pas du dossier TGV (et inversement);
4. propose une stratégie de séquencement pour les fournisseurs PST.

---

Sommaire

1. Qu’est-ce que la certification TGV?
2. Structure officielle des 254 critères
3. SMSI vs vérification d’état : comprendre la différence avant de comparer
4. TGV vs Loi 25
5. TGV vs HIPAA Security Rule
6. TGV vs SOC 2
7. Comment ISO 27001:2022 se compare-t-elle à la TGV?
8. Tableau comparatif synthétique
9. Architecture de confiance et chaîne d’accréditation
10. Comment se préparer à la certification TGV à partir de référentiels existants?
11. Glossaire
12. FAQ
13. Sources et méthodologie

1. Qu’est-ce que la certification TGV?

En bref : La certification TGV (Trousse globale de vérification) est l’attestation réglementaire du MSSS du Québec exigée pour tout produit ou service technologique manipulant des renseignements de santé. Elle est délivrée par le Bureau de certification du MSSS et atteste qu’un PST satisfait les 254 critères du référentiel officiel publié par le ministère.

La certification TGV (acronyme de Trousse globale de vérification) est une attestation gouvernementale délivrée par le Bureau de certification du MSSS (anciennement Bureau de certification et d’homologation, BCH). Elle confirme qu’un produit ou service technologique répond aux exigences sectorielles du SSSS québécois en matière de sécurité, de protection des renseignements personnels et de santé, de performance, de technologie, d’interopérabilité et d’exigences générales (français, absence de publicité).

Désambiguïsation : « TGV » désigne ici la Trousse globale de vérification du Québec, et non le train à grande vitesse français.

1.1 Qui doit obtenir la certification TGV?

La certification est obligatoire lorsqu’un PST :

• collecte, conserve, utilise, modifie, communique ou détruit des renseignements de santé et de services sociaux (RSSS);
• s’arrime à un actif informationnel d’intérêt commun manipulant des RSSS (par exemple le DSQ);
• est déployé dans plus d’un établissement de santé du Québec avec accès Web.

1.2 Combien de temps dure la certification TGV?

Le certificat TGV est valide 5 ans, avec renouvellement annuel par autodéclaration du fournisseur évaluée par le Bureau de certification. Selon la page officielle du MSSS, « la durée de validité de toutes les certifications délivrées par le Bureau de certification est de cinq ans. Cependant, elles sont renouvelables annuellement après évaluation du formulaire d’autodéclaration démontrant le respect des engagements pris en regard à la certification obtenue. La certification est valide tant qu’il n’y a pas eu de changements, à l’application elle-même ou dans les systèmes informationnels du secteur de la santé et des services sociaux. » (Source : msss.gouv.qc.ca/professionnels/certification-produits-et-services-technologiques.) L’étape d’évaluation par le Bureau distingue ce mécanisme d’une simple auto-attestation.

Le processus d’obtention se déroule en trois étapes :

1. Préparation : 1 à 6 semaines, accompagnée par le BCH.
2. Vérification : 30 jours ouvrables, réalisée par une firme externe spécialisée reconnue par le BCH.
3. Suivi continu : maintien de la conformité avec dépôts annuels.

1.3 Combien coûte une certification TGV?

Le BCH ne publie pas de barème. Le coût total dépend de la maturité initiale du PST, de la firme vérificatrice retenue, de l’envergure du test d’intrusion et du niveau d’accompagnement préparatoire. Un fournisseur souhaitant une estimation chiffrée devrait consulter directement plusieurs firmes vérificatrices reconnues par le BCH.

2. Structure officielle des 254 critères

En bref : Selon le fichier officiel liste-criteres-TGV_v2024-06-18.xls publié par le MSSS le 18 juin 2024, le référentiel TGV comporte exactement 254 critères organisés en 6 volets. Le volet Sécurité représente 104 critères (40,9 %), le volet PRPS 75 critères (29,5 %), le volet Interopérabilité 56 critères (22,0 %), et les volets Technologie (9), Performance (7) et Général (3) totalisent 19 critères (7,5 %).

Le fichier officiel liste-criteres-TGV_v2024-06-18.xls, publié par le MSSS, contient 254 critères organisés en six groupes :

Groupe	Codes	Critères	%	Cadre normatif d’inspiration
Sécurité	S01-S16	104	40,9 %	ISO/IEC 27001:2013, ISO/IEC 27002
PRPS	P01-P11	75	29,5 %	ISO/IEC 29100, Loi 25, LSSSS
Interopérabilité	I01-I57	56	22,0 %	FHIR, HL7v3, normes provinciales
Technologie	T01-T09	9	3,5 %	Architecture, hébergement, accessibilité
Performance	PF01-PF07	7	2,8 %	Standards de performance applicative
Général	G01-G02 et I10	3	1,2 %	Spécificités québécoises (français, publicité)
Total		254	100 %

Note de méthodologie. Le fichier officiel contient une anomalie de numérotation : le critère codé S08.19 (sur la déconnexion automatique de session) est en réalité catégorisé « Contrôle des accès » et appartient probablement au sous-domaine S06 (notre interprétation, fondée sur la catégorie et la position séquentielle entre S06.18 et S06.20; non confirmée par communication officielle MSSS). Par catégorie réelle, S06 compte 24 critères et S08 en compte 4. Par code Num strict tel que publié, S06 = 23 et S08 = 5. Cette anomalie n’invalide pas le total de 104 critères au volet Sécurité, mais elle illustre l’importance de lire le fichier source attentivement.

2.1 Le volet Sécurité (104 critères, 16 sous-domaines)

Volet le plus volumineux du référentiel. Les 16 sous-domaines suivent une structure inspirée de l’ISO 27001:2013 (qui comportait 14 domaines dans son Annexe A) :

Code	Sous-domaine officiel	Critères
S01	Gestion des risques	3
S02	Politique de sécurité	4
S03	Organisation de la sécurité	6
S04	Sécurité des ressources humaines	5
S05	Gestion des actifs	8
S06	Contrôle des accès	23 (24 par catégorie)
S07	Cryptographie	3
S08	Sécurité physique et environnementale	4 (5 incluant l’anomalie)
S09	Sécurité liée à l’exploitation	12
S10	Journalisation et surveillance	7
S11	Sécurité des communications	5
S12	Acquisition, développement et maintenance	8
S13	Relation avec les fournisseurs	6
S14	Gestion des incidents	3
S15	Continuité de l’activité (aspects sécurité)	3
S16	Gestion de la conformité	3

Le sous-domaine Contrôle des accès est nettement le plus volumineux et concentre près d’un quart du volet Sécurité. Voir notre article dédié au volet Sécurité TGV pour le détail des 16 sous-domaines avec citations littérales des critères.

2.2 Le volet PRPS (75 critères, 11 sous-domaines)

Calqué sur les 11 principes de l’ISO/IEC 29100 :

Code	Sous-domaine officiel	Critères
P01	Responsabilité	10
P02	Licéité et spécification de la finalité	10
P03	Limitation de la collecte	8
P04	Ouverture, transparence et information	7
P05	Limitation de l’utilisation et de la divulgation	8
P06	Consentement et choix	7
P07	Exactitude et qualité	6
P08	Sécurité des renseignements personnels	8
P09	Participation et accès individuels	3
P10	Limitation de la conservation	4
P11	Minimisation des renseignements personnels	4

Le critère P02.10 mérite une mention particulière. Il interdit explicitement « l’utilisation secondaire des données […] (même si les données sont anonymisées, s’il s’agit de résultats d’analyses statistiques ou de mégadonnées) ». Cette restriction est plus stricte que les régimes comparables : le RGPD considère les données pleinement anonymisées comme hors de son champ d’application (considérant 26); l’article 89 du RGPD autorise certains traitements secondaires à des fins de recherche scientifique, statistique ou archivistique sous conditions de garanties; HIPAA Privacy Rule définit deux mécanismes de dé-identification — Safe Harbor (45 CFR 164.514(b)(2), suppression de 18 identifiants explicitement listés) et Expert Determination (45 CFR 164.514(b)(1), avis statistique d’un expert qualifié sur le risque de ré-identification) — qui autorisent divers usages secondaires une fois les conditions remplies. La TGV adopte une position maximaliste sectorielle santé : ni anonymisation ni usage statistique secondaire ne sont permis sans autorisation explicite.

2.3 Le volet Interopérabilité (56 critères) — la signature québécoise

C’est le volet le plus distinctif de la TGV et celui que les fournisseurs internationaux sous-estiment systématiquement. Selon le fichier officiel, ses 56 critères se répartissent en trois grands blocs :

Bloc	Codes	Critères	Contenu
Standards techniques	I01-I09	9	Authentification LDAP/LDAPS, accessibilité Web, FHIR, HL7v3, connecteurs SOAP/XML/HTTP/SMTP/TCP-IP
Identification de l’usager	I10-I21, I38, I44-I51	22	NAM, NIU, GIU, IPMÉ, prénom légal, date de naissance, parents biologiques, conjoint, autres prénoms, pays de naissance, langue
Adresse et communication	I22-I37, I52-I57	25	Adresse résidentielle, courriel, téléphone, type de coordonnée, dates de validité d’adresse

Le critère I06 exige par exemple que la solution puisse appeler les services communs provinciaux du GIU au moment de la création d’un dossier. Le critère I08 exige le support FHIR (et optionnellement HL7v3).

2.4 Volets Performance, Technologie et Général (19 critères)

Volet	Codes	Critères	Contenu
Performance	PF01-PF07	7	Documentation de la latence, bande passante, temps de réponse, gestion des paquets
Technologie	T01-T09	9	Accessibilité Web (Conseil du trésor du Québec), architecture documentée, base de données extensible, séparation physique ou logique des données entre organisations dispensatrices (T05), arrimage Active Directory/LDAP du RITM
Général	G01-G02 et I10	3	Interface en français obligatoire (G01), absence de publicité (G02), nom de famille légal (I10)

3. SMSI vs vérification d’état : comprendre la différence avant de comparer

En bref : ISO 27001:2022 atteste qu’une organisation possède un système de management qui gère ses contrôles de sécurité dans le temps. La TGV atteste qu’à un moment donné, une version d’un produit ou service technologique satisfait 254 critères. Ce sont deux objets fondamentalement différents — c’est pourquoi les pourcentages de recouvrement entre eux mesurent la réutilisabilité documentaire, pas une équivalence conceptuelle.

Avant de comparer la TGV avec d’autres référentiels, une distinction conceptuelle est nécessaire : TGV et ISO 27001:2022 attestent des choses fondamentalement différentes.

3.1 ISO 27001:2022 atteste un système de management

ISO/IEC 27001:2022 n’est pas un référentiel de contrôles. C’est un référentiel de système de management de la sécurité de l’information (SMSI). La norme contient :

• Clauses 4 à 10 : exigences obligatoires sur le système de management lui-même (contexte, leadership, planification, soutien, opération, évaluation, amélioration);
• Annexe A : un catalogue de 93 contrôles que l’organisation choisit de mettre en œuvre selon les résultats de son analyse de risques.

Une certification ISO 27001:2022 atteste que l’organisation possède et maintient un système qui :

1. décide quels contrôles mettre en place (à partir de l’analyse de risques),
2. les met en place,
3. surveille leur efficacité,
4. les améliore en continu (clause 10).

Le certificat n’est pas une attestation que tous les 93 contrôles sont en place. Il atteste que le système qui décide quels contrôles mettre en place fonctionne.

3.2 La TGV atteste un état du PST

La TGV vérifie qu’à un moment donné, la version X du PST Y satisfait les 254 critères (ou bénéficie d’une exception explicite du MSSS). Le certificat couvre une version applicative spécifique. Si le PST évolue substantiellement, la certification doit être renouvelée.

C’est plus proche d’une attestation produit (comme le marquage CE en Europe) que d’une certification système de management (comme ISO 27001:2022).

3.3 Conséquence pratique

ISO 27001:2022	TGV
Atteste un système qui maintient l’état	Atteste l’état à un moment donné
Audits de surveillance annuels (typiquement environ un tiers du SMSI couvert par année)	Suivi annuel + recertification à 5 ans
Re-certification triennale complète	Re-certification quinquennale complète
Périmètre = SMSI (peut couvrir plusieurs produits ou services)	Périmètre = une version d’un PST
Gouvernance basée sur le risque (SoA)	Liste prescriptive de critères à démontrer

Cette différence structurelle explique pourquoi les pourcentages de recouvrement entre les deux cadres sont des estimations qualitatives : on ne compare pas deux objets de même nature.

4. TGV vs Loi 25 et Loi 5 (LRSSS)

En bref : La Loi 25 (depuis 2022-2024) et la Loi 5/LRSSS (depuis 1er juillet 2024) encadrent les renseignements personnels au Québec — la première de manière générale, la seconde spécifiquement pour les renseignements de santé. La TGV intègre les obligations principales de ces lois dans son volet PRPS (75 critères) et y ajoute des exigences sectorielles (cartographie RSSS, hébergement au Québec, arrimage DSQ, interdiction d’usage secondaire). Une organisation conforme TGV est de facto alignée avec les deux lois sur les RSSS qu’elle manipule.

4.1 Deux lois qui se complètent

Deux lois québécoises encadrent la protection des renseignements personnels en santé :

La Loi 25 (officiellement Loi modernisant des dispositions législatives en matière de protection des renseignements personnels), entrée en vigueur graduellement entre septembre 2022 et septembre 2024, s’applique à toutes les organisations québécoises qui traitent des renseignements personnels. Les sanctions peuvent atteindre 25 millions de dollars ou 4 % du chiffre d’affaires mondial.

La Loi 5 (officiellement Loi sur les renseignements de santé et de services sociaux, ou LRSSS) est entrée en vigueur graduellement à compter du 1er juillet 2024; certaines dispositions sont reportées à des dates ultérieures. Elle instaure un cadre juridique exclusif pour la gestion des renseignements de santé et de services sociaux (RSSS) au Québec. Elle reprend plusieurs exigences de la Loi 25 mais introduit un régime spécifique pour le secteur santé : droits de restriction d’accès par les usagers, cadre d’accès pour les professionnels et les chercheurs, intégration au futur Dossier santé numérique (DSN). Pour les organismes de santé visés, la Loi 5 soustrait les RSSS du régime général de la Loi 25. Les fournisseurs PST devraient consulter la communication la plus récente du MSSS et de la Commission d’accès à l’information du Québec (CAI) pour le statut applicable à leur périmètre.

4.2 Comparaison directe

Dimension	TGV	Loi 25	Loi 5 (LRSSS)
Nature	Certification technique sectorielle	Loi générale	Loi sectorielle santé
Portée	PST manipulant des RSSS	Toutes les organisations au Québec	Organismes de santé et services sociaux
Champ	6 volets	RP uniquement	RSSS uniquement
Caractère	Obligatoire pour le marché SSSS	Obligatoire toute org. traitant des RP	Obligatoire organismes de santé
Régulateur	Bureau de certification (MSSS)	CAI	CAI (responsable de l’application)
Mécanisme	Vérification externe + attestation 5 ans	Sanctions CAI	Sanctions CAI; obligations spécifiques RSSS
Entrée en vigueur	TGV depuis 2014 (versions successives)	Graduelle 2022-2024	1er juillet 2024

4.3 Recouvrement

Le volet PRPS de la TGV (75 critères) couvre l’ensemble des obligations principales de la Loi 25 et y ajoute :

• exigences de cartographie des RSSS;
• exigences d’hébergement au Québec (P08.07) ou démonstration d’un régime juridique équivalent;
• arrimage au DSQ avec marquage et traçabilité spécifique (P03.08, P06.07);
• restrictions plus strictes sur l’usage secondaire (P02.10);
• spécificités sectorielles découlant de la LSSSS et désormais de la Loi 5 (LRSSS).

Un fournisseur PST conforme TGV est de facto aligné avec les obligations principales de la Loi 25 et de la Loi 5 (LRSSS) sur les RSSS qu’il manipule. L’inverse est partiel : la conformité Loi 25 couvre la majorité du volet PRPS de la TGV, mais l’ajout du volet sectoriel santé (cartographie RSSS, hébergement, DSQ, P02.10) reste à faire. Qualitativement, la Loi 25 couvre principalement le volet PRPS (75 critères sur 254 du référentiel TGV).

5. TGV vs HIPAA Security Rule

En bref : La HIPAA Security Rule est le régime américain de protection des renseignements de santé électroniques. Elle est moins prescriptive que la TGV, qui intègre 254 critères contre les 3 catégories de safeguards de HIPAA (administratif, physique, technique). Un fournisseur conforme HIPAA Security Rule couvre une fraction du volet Sécurité TGV mais n’aborde ni les volets sectoriels québécois (Interopérabilité, Performance, Technologie), ni le cadre PRP selon ISO 29100 retenu par la TGV.

La HIPAA Security Rule (45 CFR Part 164, Subparts A & C) impose aux entités assujetties américaines (covered entities) et à leurs business associates des mesures administratives, physiques et techniques pour protéger les renseignements de santé électroniques (ePHI).

Une proposition de modification (NPRM) publiée le 6 janvier 2025 vise à renforcer ces exigences (chiffrement systématique, MFA, vérification annuelle des contrôles techniques par les business associates). Au moment de la rédaction (avril 2026), cette NPRM n’est pas encore finalisée.

5.1 Comparaison directe

Dimension	TGV	HIPAA Security Rule
Juridiction	Québec	États-Unis (fédéral)
Approche	Prescriptive et détaillée (254 critères)	Technologiquement neutre (3 catégories de safeguards)
Volet PRP	Intégré (75 critères PRPS)	Couvert par la HIPAA Privacy Rule (séparée)
Performance et interopérabilité	Inclus (75 critères)	Non couvert
Hébergement	Au Québec ou équivalent (P08.07)	Aucune obligation territoriale
Test d’intrusion	Obligatoire par firme reconnue (S16.02)	Non explicitement requis, mais le contrôle A.8.29 (Security testing) le couvre quand l’organisation l’implémente; pratique courante chez les organisations certifiées
Vérification	Firme externe + BCH	Auto-attestation; audits OCR si incident

5.2 Recouvrement

La HIPAA Security Rule actuelle est moins prescriptive que la TGV. Le volet « Technical Safeguards » de HIPAA recoupe une partie des sous-domaines S06, S07, S10, S11 de la TGV, mais sans descendre au même niveau de détail.

Un fournisseur conforme HIPAA Security Rule couvre principalement une fraction du volet Sécurité TGV — qualitativement, une portion modeste du référentiel total, sans aucune contribution aux volets Performance, Technologie, Interopérabilité, Général, ni au volet PRPS qui suit l’ISO 29100.

6. TGV vs SOC 2

En bref : SOC 2 est une attestation commerciale volontaire publiée par l’AICPA, basée sur 61 Trust Services Criteria flexibles. La TGV est une certification réglementaire sectorielle prescriptive avec 254 critères fixes. Un fournisseur certifié SOC 2 Type 2 couvre une portion du volet Sécurité TGV; la couverture est plus large si les catégories Confidentialité et Privacy sont incluses, mais les volets sectoriels santé québécois (Interopérabilité, hébergement au Québec, arrimage DSQ) restent à couvrir indépendamment.

Le SOC 2 est un cadre d’attestation développé par l’AICPA, basé sur les Trust Services Criteria (TSC) de 2017 mis à jour avec des points de focus révisés en 2022. Cinq catégories : Sécurité (obligatoire), Disponibilité, Intégrité du traitement, Confidentialité, Vie privée. 61 critères au total (33 sous Sécurité + 28 additionnels).

6.1 Comparaison directe

Dimension	TGV	SOC 2
Émetteur	MSSS – Bureau de certification (gouvernement)	AICPA (organisme professionnel privé)
Type	Certification réglementaire obligatoire	Attestation volontaire commerciale
Approche	Prescriptive	Critères flexibles, contrôles conçus par l’organisation
Critères	254 fixes	33 + 28 = 61
Niveau de garantie	Attestation produit (version X)	Type 1 (système conçu) ou Type 2 (système opérant sur 6-12 mois)
Cycle	Certification 5 ans + autodéclaration annuelle évaluée par le Bureau	Renouvellement annuel

6.2 Recouvrement

• SOC 2 Type 2 — catégorie Sécurité seule couvre une portion du volet Sécurité TGV. Qualitativement, une fraction du référentiel total, principalement sur les contrôles techniques et organisationnels.
• SOC 2 Type 2 — Sécurité + Confidentialité + Privacy couvre une portion plus large, ajoutant un complément sur le volet PRPS, sans toutefois aligner exactement sa structure (SOC 2 utilise les principes GAPP de l’AICPA, structurellement différents des 11 principes de l’ISO 29100 retenus par la TGV).

SOC 2 n’aborde pas :

• les exigences sectorielles santé (interopérabilité DSQ, hébergement au Québec, NAM/NIU);
• la prescription technique au même niveau de détail (par exemple, le critère S06.06 TGV exige explicitement la MFA pour tout accès via réseau public — SOC 2 le laisse au choix de l’organisation).

7. Comment ISO 27001:2022 se compare-t-elle à la TGV?

En bref : ISO 27001:2022 est la norme internationale du système de management de la sécurité de l’information (SMSI), avec 93 contrôles dans son Annexe A. C’est le référentiel international qui se rapproche le plus du volet Sécurité de la TGV. Sur les 16 sous-domaines TGV : 11 sont en couverture directe avec ISO 27001:2022 (55 critères), 4 en couverture partielle (45 critères) et 1 en couverture inverse où ISO 27001 dépasse TGV (S01, 3 critères). ISO 27001:2022 ne couvre cependant aucun des 75 critères des volets Interopérabilité, Performance, Technologie et Général.

C’est la comparaison la plus pertinente pour la majorité des fournisseurs PST internationaux qui arrivent au Québec.

L’ISO/IEC 27001:2022 est la norme internationale pour les SMSI. La version 2022 a réorganisé l’Annexe A en 93 contrôles structurés en 4 thèmes :

• A.5 Organisationnels — 37 contrôles
• A.6 Personnes — 8 contrôles
• A.7 Physiques — 14 contrôles
• A.8 Technologiques — 34 contrôles

11 nouveaux contrôles ont été introduits par la version 2022 (notamment 5.7 Threat intelligence, 5.23 Cloud, 5.30 ICT readiness, 7.4 Physical monitoring, 8.9 Configuration management, 8.10 Information deletion, 8.11 Data masking, 8.12 DLP, 8.16 Monitoring, 8.23 Web filtering, 8.28 Secure coding).

Note importante sur la transition. La période de transition entre ISO 27001:2013 et ISO 27001:2022 s’est terminée le 31 octobre 2025 (IAF Resolution 2021-22). Toutes les organisations certifiées ISO 27001 doivent désormais l’être sur la version 2022. Les certifications 2013 ne sont plus valides.

7.1 Comparaison directe

Dimension	TGV	ISO 27001:2022
Émetteur	MSSS – Bureau de certification	ISO/IEC (international)
Type	Certification sectorielle obligatoire	Certification volontaire
Approche	Prescriptive (critères à démontrer)	Basée sur le risque (SMSI + Annexe A + SoA)
Niveau de garantie	Attestation produit (version X)	Certification système de management
Structure	254 critères en 6 volets	Clauses 4-10 (SMSI obligatoire) + Annexe A (93 contrôles, applicabilité décidée par SoA)
PRP	Intégré (PRPS, 75 critères)	Partiel (A.5.34); ISO 27701 recommandée en complément
Performance / interopérabilité sectorielles	Couvert	Non couvert
Cycle	5 ans + autodéclaration annuelle évaluée par le Bureau	3 ans + audits de surveillance annuels (typiquement environ un tiers du SMSI couvert par année selon la programmation du Certification Body)

7.2 Asymétrie fondamentale prescriptive vs basée sur le risque

L’ISO 27001:2022 fonctionne sur une logique de gestion par le risque. L’organisation publie une déclaration d’applicabilité (SoA — Statement of Applicability) où certains contrôles peuvent être documentés comme non applicables avec justification.

La TGV ne permet pas cette logique : chaque critère doit être démontré ou faire l’objet d’une demande d’exception explicite au MSSS (mécanisme cité par exemple aux critères S06.11 sur les mots de passe en dur et S06.18 sur les comptes génériques).

Cette asymétrie a deux implications pratiques :

1. Un fournisseur certifié ISO 27001:2022 dont la SoA exclut certains contrôles physiques (parce qu’il opère 100 % en cloud) devra quand même fournir des preuves au BCH sur ces contrôles, en s’appuyant sur les attestations du fournisseur cloud.
2. Le fournisseur peut demander une exception au MSSS si un critère ne s’applique pas à son architecture, mais l’exception doit être accordée explicitement — ce n’est pas équivalent à la SoA qui est unilatérale.

7.3 Asymétrie sur la gestion des risques

Les 3 critères S01 de la TGV (S01.01 évaluation initiale, S01.02 évaluations périodiques, S01.03 approbation par la direction) sont un sous-ensemble de ce qu’exige ISO 27001:2022 sur la gestion des risques. Les exigences ISO comprennent :

• Clause 6.1.2 : méthodologie d’évaluation des risques avec critères d’acceptation, identification, analyse, évaluation, comparabilité dans le temps;
• Clause 6.1.3 : traitement des risques avec choix d’options, identification des contrôles, comparaison avec l’Annexe A, production de la SoA, plan de traitement;
• Clause 8.2-8.3 : mise en œuvre opérationnelle des évaluations et des plans de traitement à intervalles planifiés.

Pour un fournisseur partant d’ISO 27001:2022, satisfaire S01 TGV est trivial. Pour un fournisseur partant uniquement de la TGV, démontrer l’équivalence ISO 27001:2022 sur la gestion des risques demanderait un effort de structuration documentaire substantiel.

7.4 Recouvrement entre TGV et ISO 27001:2022

Dimension mesurée. Les pourcentages présentés dans cette section et dans le TL;DR mesurent la réutilisabilité documentaire et de preuves — c’est-à-dire la mesure dans laquelle les artefacts produits pour satisfaire les contrôles d’ISO 27001:2022 (politiques, procédures, captures, journaux, registres) peuvent être réutilisés pour démontrer les critères TGV moyennant un re-formatage. Cette dimension n’est pas une équivalence conceptuelle entre les deux référentiels (qui attestent d’objets différents — voir section 3).

Cartographie haut niveau du volet Sécurité TGV (104 critères) avec ISO 27001:2022 :

• 11 sous-domaines en couverture directe (S02-S05, S07, S08, S11-S15) — 55 critères, ≈ 53 % du volet S.
• 4 sous-domaines en couverture partielle (S06, S09, S10, S16) — 45 critères, ≈ 43 % du volet S; les contrôles ISO 27001:2022 couvrent la majorité des critères de ces sous-domaines, mais certains sont plus prescriptifs (5 essais, MFA universelle, CAPTCHA, sauvegardes anti-rançongiciels, EDR, prescription d’une firme pentest reconnue par le MSSS).
• 1 sous-domaine en couverture inverse (S01) — 3 critères, ≈ 3 % du volet S; ISO 27001:2022 dépasse largement les exigences TGV.

Note sur l’hétérogénéité interne des sous-domaines « Partielle ». L’étiquette « Partielle » au niveau du sous-domaine ne signifie pas que tous les critères du sous-domaine soient partiellement couverts. Au sein d’un sous-domaine partiel comme S06 (23 critères), la majorité des critères correspond directement à des contrôles Annexe A; seuls quelques-uns (5-6 typiquement) introduisent des prescriptions sectorielles spécifiques. Une cartographie au niveau critère donnerait probablement une distribution encore plus favorable au transfert depuis ISO 27001:2022. Cette cartographie au niveau critère est un livrable identifié comme à venir.

Pour le détail par sous-domaine et la cartographie vers les contrôles spécifiques de l’Annexe A, consultez le tableau de cartographie dans notre article dédié au volet Sécurité.

Au-delà du volet Sécurité, ISO 27001:2022 ne couvre rien des volets Interopérabilité (56 critères), Performance (7), Technologie (9) et Général (3) — soit 75 critères sectoriels québécois sans équivalent international.

7.5 ISO 27001:2022 + ISO 27701

ISO/IEC 27701 est l’extension PIMS (Privacy Information Management System) d’ISO 27001. Sa structure suit la logique du GDPR (cf. son Annexe D).

Le volet PRPS de la TGV suit la structure de l’ISO/IEC 29100 (11 principes). Bien que GDPR et ISO 29100 partagent une base philosophique commune (transparence, minimisation, consentement, finalité), leur structure diffère substantiellement :

• Le « Data Protection Officer » du GDPR n’a pas l’équivalent strict du « Responsable PRP » sectoriel québécois;
• Les bases légales du GDPR (Art. 6) ne se retrouvent pas dans la TGV qui parle de « finalité autorisée » (P02);
• L’interdiction de l’usage secondaire même anonymisé (P02.10 TGV) n’a pas d’équivalent dans ISO 27701.

Pour un fournisseur certifié ISO 27001:2022 + ISO 27701, la couverture qualitative est substantielle : l’essentiel du volet Sécurité (cf. cartographie ci-dessus) plus une part significative du volet PRPS. Cette couverture suppose néanmoins un re-mappage substantiel entre la structure GDPR/27701 et la structure 29100/PRPS, et certains critères TGV singuliers (P02.10, P03.08 sur le DSQ, P08.07 sur l’hébergement au Québec) restent à couvrir indépendamment.

8. Tableau comparatif synthétique

Critère	TGV	Loi 25	Loi 5 (LRSSS)	HIPAA	SOC 2	ISO 27001:2022
Type	Certification sectorielle obligatoire	Loi générale	Loi sectorielle santé	Règlement fédéral	Attestation commerciale	Certification volontaire
Émetteur	MSSS – Bureau de certification (Québec)	Assemblée nationale du QC	Assemblée nationale du QC	HHS-OCR (É.-U.)	AICPA (É.-U.)	ISO/IEC (international)
Caractère	Obligatoire	Obligatoire	Obligatoire (organismes de santé)	Obligatoire (santé É.-U.)	Volontaire	Volontaire
Approche	Prescriptive	Légale/prescriptive	Légale/prescriptive sectorielle	Technologiquement neutre	Critères flexibles	Basée sur le risque
Nb critères	254	s.o.	s.o.	3 catégories de safeguards	61	93 (+ clauses 4-10)
Volet Sécurité technique	Détaillée (104 critères)	Mention générale	Référence aux mesures de sécurité	Adm./Phys./Tech.	CC1-CC9	Annexe A (4 thèmes)
PRP / vie privée	75 critères PRPS (11 principes)	Coeur de la loi	Cadre exclusif RSSS	Privacy Rule (séparée)	Catégorie P optionnelle	Partiel; ISO 27701
Performance	✅ 7 critères	❌	❌	❌	⚠️ Disponibilité optionnelle	❌
Interopérabilité sectorielle	✅ 56 critères (DSQ, FHIR, NAM/NIU)	❌	⚠️ Cadre DSN	❌	❌	❌
Hébergement local	✅ P08.07 (Québec ou équivalent)	⚠️ EFVP hors QC	⚠️ Encadré	❌	❌	❌
Test d’intrusion	✅ Obligatoire (S16.02)	❌	❌	⚠️ Recommandé	⚠️ Recommandé	⚠️ A.8.29 (Security testing) lorsque implémenté
SMSI / système de management	❌ Vérifie l’état du PST	s.o.	s.o.	❌	⚠️ Type 2 ≈ système opérant	✅ Clauses 4-10
Validité du certificat	5 ans + autodéclaration annuelle évaluée par le Bureau	s.o.	s.o.	Conformité continue	12 mois	3 ans + audits annuels
Sanctions	Non-accès au marché SSSS	Jusqu’à 25 M$ ou 4 % CA	Sanctions CAI	Amendes OCR variables	Perte de clients	Perte de certification

9. Architecture de confiance et chaîne d’accréditation

En bref : Les trois référentiels comparés reposent sur des architectures de confiance différentes. ISO 27001:2022 utilise une chaîne IAF → organismes d’accréditation nationaux (SCC, ANAB, UKAS) → Certification Bodies, encadrée par ISO/IEC 27006:2015 et ISO/IEC 17021-1. SOC 2 repose sur des CPA licenciés par les State Boards of Accountancy américains, sous normes SSAE 18. La TGV repose sur une liste maintenue par le Bureau de certification du MSSS, sans cadre normatif équivalent et sans liste publique des firmes vérificatrices reconnues.

Tous les référentiels comparés ne reposent pas sur la même architecture de confiance. Cette différence est rarement abordée mais elle change la portée et la reconnaissance internationale d’un certificat.

9.1 ISO 27001:2022 — chaîne à trois niveaux

ISO 27001:2022 repose sur :

1. L’IAF (International Accreditation Forum) qui maintient des accords multilatéraux de reconnaissance (IAF MLA) entre organismes d’accréditation nationaux.
2. Les organismes d’accréditation nationaux (SCC au Canada, ANAB aux États-Unis, UKAS au Royaume-Uni, BSI accreditation services, etc.) qui accréditent les Certification Bodies (CB) selon ISO/IEC 27006:2015 (exigences pour les organismes d’audit et de certification de SMSI).
3. Les Certification Bodies qui délivrent les certificats aux organisations.

Mécanique de l’audit ISO 27001:2022 (selon ISO/IEC 17021-1). La certification initiale comporte deux étapes :

• Stage 1 (revue documentaire) : le CB évalue la documentation du SMSI (politique, périmètre, analyse de risques, SoA), valide le périmètre déclaré et confirme la maturité organisationnelle pour l’audit Stage 2.
• Stage 2 (revue opérationnelle) : le CB évalue la mise en œuvre effective des contrôles, observe les processus en action, examine les preuves d’efficacité.

Une fois certifiée, l’organisation est soumise à deux audits de surveillance annuels (couvrant typiquement environ un tiers du SMSI par année selon la programmation du CB), puis à un audit de re-certification complet au terme du cycle de trois ans. Cette mécanique diffère structurellement de la TGV, où la vérification initiale par firme reconnue se fait en 30 jours ouvrables et où le suivi prend la forme d’autodéclarations annuelles évaluées par le Bureau de certification.

Un certificat ISO 27001:2022 délivré par un CB accrédité par un organisme signataire des accords IAF MLA bénéficie d’une reconnaissance internationale large. Tous les organismes d’accréditation nationaux ne sont cependant pas signataires des MLA pour tous les schémes; et certains donneurs d’ordre commerciaux (notamment grands groupes financiers ou de la santé aux États-Unis) peuvent demander des audits complémentaires par un CB de leur choix indépendamment de l’accréditation détenue.

9.2 SOC 2 — CPA et SSAE 18

SOC 2 repose sur des Certified Public Accountants (CPA) licenciés par les State Boards of Accountancy américains (55 jurisdictions reconnues par le NASBA — 50 États plus le District of Columbia et 4 territoires), conduisant leurs missions sous les normes SSAE 18 (notamment AT-C sections 105 et 205) publiées par l’AICPA. Le contrôle qualité est assuré par le AICPA Peer Review Program pour la majorité des firmes (le PCAOB ne supervise que les audits d’entités SEC inscrites, ce qui couvre rarement les missions SOC 2). La reconnaissance des attestations SOC 2 par le marché est aujourd’hui globale, mais il n’existe pas de mécanisme institutionnel équivalent aux accords IAF MLA d’ISO 27001:2022.

9.3 TGV — liste BCH

La TGV repose sur une liste maintenue par le BCH des firmes vérificatrices reconnues. Cette liste n’est pas publique. Il n’existe pas, à notre connaissance, de cadre normatif équivalent à ISO 27006 pour les firmes vérificatrices TGV. La reconnaissance se fait au cas par cas.

Un certificat TGV est reconnu dans le contexte du SSSS québécois uniquement, et dépend de la confiance institutionnelle dans le BCH et dans la firme vérificatrice mandatée. Pour un fournisseur dont les acquéreurs sont uniquement québécois en santé, c’est suffisant. Pour un fournisseur opérant aussi à l’international, il faut combiner.

10. Comment se préparer à la certification TGV à partir de référentiels existants?

En bref : Aucun référentiel international (Loi 25, HIPAA, SOC 2, ISO 27001:2022) ne dispense d’une préparation TGV spécifique. ISO 27001:2022 est l’investissement antécédent le plus efficace pour le volet Sécurité; ISO 27701 ajoute une couverture significative du volet PRPS. Les volets Interopérabilité (56 critères), Performance (7), Technologie (9) et Général (3) — soit 75 critères — n’ont aucun équivalent international et constituent le travail le plus lourd pour un fournisseur SaaS étranger arrivant au Québec.

10.1 Trois constats stratégiques

1. Aucun référentiel international ne dispense d’une préparation TGV spécifique.
Même un fournisseur certifié SOC 2, ISO 27001:2022 + 27701 et conforme à HIPAA aura, au mieux, environ la moitié des critères TGV déjà couverts. Les volets Performance, Technologie, Interopérabilité et Général représentent 75 critères sans équivalent direct.

2. La Loi 25 est un sous-ensemble du volet PRPS — pas davantage.
Une organisation conforme Loi 25 a une base solide pour le volet P de la TGV, mais devra y ajouter les exigences sectorielles santé.

3. ISO 27001:2022 est l’investissement « antécédent » le plus efficace pour le volet Sécurité.
Un SMSI ISO 27001:2022 mature couvre une part substantielle du volet Sécurité TGV. Avec ISO 27701 en complément, on monte sur le volet PRPS sans pour autant l’épuiser.

10.2 Combinaison optimale Québec + international

Pour les fournisseurs ciblant simultanément les marchés québécois et internationaux :

TGV + HIPAA + SOC 2 Type 2 (catégories Sécurité, Confidentialité, Disponibilité) + ISO 27001:2022 (idéalement)

Cette combinaison couvre les exigences réglementaires du Québec, du fédéral américain et les attentes commerciales des grands clients SaaS, avec des recouvrements internes qui réduisent l’effort total.

10.3 Réutiliser sa SoA ISO 27001:2022 pour la TGV

C’est le levier le plus actionnable pour un fournisseur certifié ISO 27001:2022. La Statement of Applicability (SoA) liste les 93 contrôles Annexe A avec leur statut d’applicabilité, leur justification et leurs preuves de mise en œuvre. Elle se transforme en cartographie de couverture TGV par un travail de re-formatage : pour chaque contrôle Annexe A applicable et implémenté, identifier le ou les critères TGV correspondants, et utiliser les mêmes preuves.

L’opération principale est documentaire (pas technique) : la SoA produit une vue par contrôle ISO; le BCH attend une vue par critère TGV. Voir le tableau de cartographie détaillé dans notre article dédié au volet Sécurité.

10.4 Le piège des volets oubliés

L’erreur la plus fréquente chez les fournisseurs internationaux qui arrivent au Québec est de traiter la TGV comme un ISO 27001 québécois. C’est un cadrage qui mène à sous-estimer le projet. Les volets Interopérabilité (56 critères, 22 % du référentiel), Performance (7) et Technologie (9) requièrent des compétences applicatives et architecturales qui sortent du périmètre habituel d’un RSSI.

11. Glossaire

• BCH — Bureau de certification et d’homologation (ancien nom du Bureau de certification du MSSS).
• BCM — Business Continuity Management.
• BIA — Business Impact Analysis.
• CAI — Commission d’accès à l’information du Québec.
• CB — Certification Body (organisme de certification ISO 27001:2022).
• DIC — Disponibilité, Intégrité, Confidentialité (classification de l’information).
• DPO — Data Protection Officer (rôle GDPR; à comparer au Responsable PRP du Québec).
• DSN — Dossier santé numérique (cadre prévu par la Loi 5).
• DSQ — Dossier santé Québec.
• EBIOS RM — Expression des Besoins et Identification des Objectifs de Sécurité — Risk Manager (méthode d’analyse de risques publiée par l’ANSSI).
• EDR — Endpoint Detection and Response.
• EFVP — Évaluation des facteurs relatifs à la vie privée.
• ePHI — Electronic Protected Health Information (HIPAA).
• GIU — Gestion de l’identification des usagers (services communs provinciaux).
• HIPAA — Health Insurance Portability and Accountability Act (États-Unis).
• IAF — International Accreditation Forum.
• IPMÉ — Identifiant patient maître d’établissement.
• Loi 5 — Loi sur les renseignements de santé et de services sociaux (LRSSS), entrée en vigueur le 1er juillet 2024.
• LRSSS — voir Loi 5.
• LSSSS — Loi sur les services de santé et les services sociaux (Québec).
• MLA — Multilateral Recognition Arrangement (accords IAF d’accréditation).
• MSSS — Ministère de la Santé et des Services sociaux du Québec.
• NAM — Numéro d’assurance maladie (RAMQ).
• NIU — Numéro d’identification unique (provincial).
• OCR — Office for Civil Rights du HHS américain (organisme d’application HIPAA).
• PIMS — Privacy Information Management System (ISO 27701).
• PRI — Plan de réponse aux incidents.
• PRP / PRPS — Protection des renseignements personnels / et de santé.
• PST — Produit ou service technologique.
• RITM — Réseau intégré de télécommunication multimédia (réseau provincial du SSSS).
• RSSS — Renseignements de santé et de services sociaux.
• SaaS — Software as a Service.
• SMSI — Système de management de la sécurité de l’information (ISO 27001:2022).
• SoA — Statement of Applicability (ISO 27001:2022, document central).
• SSAE 18 — Statement on Standards for Attestation Engagements 18 (norme AICPA encadrant les missions d’attestation, dont SOC 2).
• SSSS — Santé et services sociaux (le réseau québécois).
• TGV — Trousse globale de vérification (MSSS Québec).

12. FAQ

Combien de critères y a-t-il dans la TGV?

Le référentiel officiel TGV publié par le MSSS contient 254 critères répartis en 6 volets : Sécurité (104), PRPS (75), Interopérabilité (56), Technologie (9), Performance (7) et Général (3).

Combien de temps est valide une certification TGV?

Le certificat TGV est valide 5 ans, avec renouvellement annuel par autodéclaration du fournisseur évaluée par le Bureau de certification. La certification reste valide tant qu’aucun changement majeur n’est apporté à l’application ou aux systèmes informationnels du secteur de la santé et des services sociaux.

La certification TGV est-elle obligatoire?

Oui pour tout PST qui collecte ou traite des RSSS, qui s’arrime aux actifs informationnels du SSSS, ou qui est déployé dans plus d’un établissement de santé du Québec.

La conformité à la Loi 25 dispense-t-elle de la TGV?

Non. La Loi 25 couvre uniquement la PRP. Le volet PRPS de la TGV inclut la Loi 25 et y ajoute les exigences sectorielles santé.

Une certification ISO 27001:2022 facilite-t-elle l’obtention de la TGV?

Oui, substantiellement, sur le volet Sécurité — qui représente 104 des 254 critères. Un SMSI ISO 27001:2022 mature couvre la majorité de ce volet et fournit la SoA comme outil de cartographie. L’effort résiduel se concentre sur les exigences sectorielles santé (cartographie RSSS, exigences DSQ, hébergement au Québec) et sur les volets non couverts par ISO (Interopérabilité, Performance, Technologie, Général — 75 critères).

Pourquoi le volet Interopérabilité est-il si important?

Parce que ses 56 critères (22 % du référentiel) couvrent l’arrimage avec les actifs informationnels québécois : identification des usagers via NAM/NIU/GIU, support FHIR, séparation logique entre dispensateurs (T05). Ces exigences sont absentes des cadres internationaux et représentent souvent le travail le plus lourd pour un fournisseur SaaS étranger qui arrive au Québec.

Le test d’intrusion est-il obligatoire pour la TGV?

Oui. Le critère S16.02 exige un test d’intrusion par un prestataire indépendant et reconnu par le MSSS. Les modalités sont précisées dans le document Orientation sur les tests d’intrusion du BCH.

Une certification ISO 27001:2022 est-elle équivalente à une TGV?

Non. ISO 27001:2022 atteste un système de management (le SMSI). La TGV atteste un état du PST à un moment donné. Les deux objets sont complémentaires mais pas substituables.

Quelle est la version actuelle du référentiel TGV?

La version officielle citée dans cet article est liste-criteres-TGV_v2024-06-18.xls (datée du 18 juin 2024). Le MSSS publie périodiquement de nouvelles versions, sans calendrier fixe. Vérifier la page Orientations du BCH pour la version la plus récente.

13. Sources et méthodologie

13.1 Sources officielles

Documents MSSS / TGV :

• Fichier officiel des critères : liste-criteres-TGV_v2024-06-18.xls — accessible via la page Orientations, procédures et documents utiles du Bureau de certification.
• Page principale du Bureau de certification : msss.gouv.qc.ca/professionnels/certification-produits-et-services-technologiques (durée de validité, processus, contact).
• Certification – Trousse globale de vérification (TGV), MSSS, juin 2024 — publications.msss.gouv.qc.ca/msss/document-003757
• Liste des PST certifiés actifs, MSSS — ti.msss.gouv.qc.ca.
• Orientation sur les tests d’intrusion, Bureau de certification du MSSS — orientation-tests-intrusion.pdf.
• Cadre de gestion de la certification et de l’homologation, directive ministérielle — accessible via le système G26 du MSSS.

Loi 25 :

• Commission d’accès à l’information du Québec — cai.gouv.qc.ca.

Loi 5 (Loi sur les renseignements de santé et de services sociaux, LRSSS) :

• Annonce d’entrée en vigueur du 1er juillet 2024 — quebec.ca/nouvelles/actualites.
• CAI — page d’entrée en vigueur de la LRSSS.

HIPAA :

• HHS.gov, Summary of the HIPAA Security Rule.
• Federal Register, NPRM du 6 janvier 2025.

SOC 2 :

• AICPA, 2017 Trust Services Criteria (with Revised Points of Focus – 2022).
• AICPA, normes SSAE 18 (AT-C sections 105 et 205).

ISO 27001:2022 :

• ISO/IEC 27001:2022 — iso.org/standard/27001.
• ISO/IEC 17021-1:2015 (exigences pour les organismes procédant à l’audit et à la certification de systèmes de management — référence pour la mécanique Stage 1 / Stage 2).
• ISO/IEC 27006:2015 (exigences pour organismes d’audit et de certification de SMSI).
• ISO/IEC 27007:2020 (lignes directrices pour l’audit du SMSI).
• ISO/IEC 27008:2019 (lignes directrices pour l’audit des contrôles de l’Annexe A).
• IAF Resolution 2021-22 sur la fin de la transition 2013 → 2022 (échéance 31 octobre 2025).
• Accords IAF MLA (Multilateral Recognition Arrangements) — iaf.nu.

Référentiels techniques cités :

• NIST FIPS 140-3 (validation des modules cryptographiques, en remplacement de FIPS 140-2 depuis 2019).
• NIST SP 800-52 Rev. 2 (TLS).
• NIST SP 800-63B (authentification, dont SMS-OTP déprécié).
• NIST SP 800-40 Rev. 4 (gestion des correctifs).
• NIST SP 800-115 (security testing technique).

13.2 Méthodologie

Cet article a été rédigé sur la base :

1. D’une analyse directe du fichier Excel officiel des critères TGV. Le décompte présenté (254 critères au total, 104 au volet Sécurité, 75 au volet PRPS, 56 à l’Interopérabilité, 9 à la Technologie, 7 à la Performance, 3 au Général) reflète l’extraction programmatique du contenu de ce fichier.
2. D’une vérification des sources officielles pour chacun des cadres comparés.
3. De l’expérience terrain de Services conseils Factero dans l’accompagnement à des certifications de conformité au Canada.

Limites des estimations de pourcentages. Les pourcentages de recouvrement entre référentiels mesurent la réutilisabilité documentaire et de preuves (capacité à transférer des artefacts produits pour un référentiel vers un autre moyennant re-formatage). Ce ne sont pas des équivalences conceptuelles entre les référentiels — qui attestent d’objets différents (système de management vs état de produit). Ces pourcentages reposent sur l’analyse des correspondances normatives haut niveau, pas sur une mesure formelle critère par critère. Pour la cartographie détaillée TGV ↔ ISO 27001:2022 (par sous-domaine), consultez l’article dédié au volet Sécurité TGV.

Anomalie détectée dans le fichier officiel. Le critère codé S08.19 est en réalité catégorisé « Contrôle des accès » et appartient probablement à S06 (notre interprétation, fondée sur la catégorie et la position séquentielle entre S06.18 et S06.20; non confirmée par communication officielle MSSS). Cette anomalie a été conservée telle quelle dans les décomptes par code Num pour fidélité à la source.

13.3 Mises à jour de l’article

• 28 avril 2026 : publication initiale (consolidant les itérations précédentes après corrections factuelles, méthodologiques et conceptuelles).
• 29 avril 2026 (v3.1) : précisions méthodologiques sur la dimension mesurée par les pourcentages; reformulation de la synthèse de cartographie au niveau sous-domaine; reformulation P02.10 vs RGPD avec considérant 26 et HIPAA Privacy Rule; nuance sur la reconnaissance internationale ISO 27001:2022 via les accords IAF MLA; reformulation du « 1/3 du SMSI » comme convention industrielle; précision sur la pratique du test d’intrusion en ISO 27001:2022 (A.8.29); cadrage de l’anomalie S08.19 comme inférence non confirmée.
• 29 avril 2026 (v3.2) : nom institutionnel mis à jour (« Bureau de certification », anciennement « BCH »); durée de 5 ans sourcée par citation littérale de la page MSSS; mécanisme « suivi annuel » précisé comme autodéclaration annuelle; ajout d’une section dédiée à la Loi 5 (LRSSS) entrée en vigueur le 1er juillet 2024; reformulation de la description SOC 2 (CPA licenciés par State Boards, normes SSAE 18 publiées par AICPA, AICPA Peer Review Program); ajout d’une note explicite sur l’hétérogénéité interne des sous-domaines « Partielle »; alignement du langage qualitatif HIPAA / SOC 2 / ISO 27701; retrait de PCAOB (orphelin) et ajout SaaS, SSAE 18, Loi 5, LRSSS, DSN au glossaire; ajout des sources NIST SP 800-* citées dans le volet Sécurité.
• 29 avril 2026 (v3.3) : ajout d’une colonne Loi 5 au tableau comparatif synthétique de la section 8; correction de « MSSS-BCH » résiduel en « MSSS – Bureau de certification »; précision systématique du mécanisme d’autodéclaration évaluée par le Bureau de certification (TL;DR, section 1.2, FAQ, tableaux); mention de l’entrée en vigueur graduelle de la Loi 5 (certaines dispositions ultérieures); préciser HIPAA Privacy Rule comme deux mécanismes distincts — Safe Harbor (45 CFR 164.514(b)(2)) et Expert Determination (164.514(b)(1)); précision « 55 jurisdictions reconnues par le NASBA » au lieu de « 50 boards »; ajout d’une section sur la mécanique d’audit Stage 1 / Stage 2 d’ISO 27001:2022 selon ISO/IEC 17021-1; ajout d’OCR et d’ISO/IEC 17021-1 aux références.
• 30 avril 2026 (v3.4) : optimisations AIO (AI Optimization). Ajout d’encadrés « En bref » (réponses atomiques de 30-60 mots) au début de chaque section H2. Auto-attribution renforcée des chiffres clés (« Selon le fichier officiel liste-criteres-TGV_v2024-06-18.xls du MSSS du 18 juin 2024 »). Reformulation de plusieurs titres de section en questions utilisateur (sections 7 et 10). Structuration en tableau des volets Interopérabilité, Performance, Technologie et Général dans la section 2.

À propos de l’auteur

Sébastien Robert est l’associé principal chez Services conseils Factero. Il pratique en TI depuis 2002, avec une spécialisation en gouvernance, audit, cybersécurité et conformité. Il accompagne des organisations québécoises dans leur préparation à des certifications réglementaires et volontaires.

Services conseils Factero est une firme indépendante de services-conseils en gouvernance TI, cybersécurité et conformité, établie à Saint-Jean-sur-Richelieu (Québec). Factero est elle-même certifiée CAN/DGSI 104:2021 (Rév. 1 : 2024) dans le cadre du programme CyberSécuritaire Canada.

Coordonnées : 900, du Séminaire Nord, suite 320, Saint-Jean-sur-Richelieu (Québec) J2W 1C9 — factero.ca

Déclaration de transparence. Services conseils Factero offre un service d’accompagnement à la préparation TGV. Cet article est rédigé à des fins informatives et éducatives. Il ne constitue pas un avis juridique. Les fournisseurs visant la certification TGV devraient consulter directement le Bureau de certification et d’homologation du MSSS (certification@sante.quebec) pour valider l’applicabilité et le périmètre exact de leur démarche.