{"id":321,"date":"2026-04-20T06:57:00","date_gmt":"2026-04-20T06:57:00","guid":{"rendered":"https:\/\/blog.factero.ca\/?p=321"},"modified":"2026-05-02T18:05:21","modified_gmt":"2026-05-02T18:05:21","slug":"certification-tgv-quebec-comparaison-loi-25-hipaa-soc2-iso-27001","status":"publish","type":"post","link":"https:\/\/factero.ca\/blog\/certification-tgv-quebec-comparaison-loi-25-hipaa-soc2-iso-27001\/","title":{"rendered":"Certification TGV au Qu\u00e9bec : 254 crit\u00e8res en 6 volets, compar\u00e9s \u00e0 la Loi 25, HIPAA, SOC 2 et ISO 27001:2022"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">R\u00e9ponse rapide <\/h2>\n\n\n\n<p>La <strong>Trousse globale de v\u00e9rification (TGV)<\/strong> est la certification r\u00e9glementaire du minist\u00e8re de la Sant\u00e9 et des Services sociaux du Qu\u00e9bec (MSSS) impos\u00e9e aux produits et services technologiques (PST) qui manipulent des renseignements de sant\u00e9. Le r\u00e9f\u00e9rentiel officiel publi\u00e9 par le <strong>Bureau de certification<\/strong> du MSSS (anciennement \u00ab Bureau de certification et d&rsquo;homologation \u00bb ou BCH; le terme \u00ab BCH \u00bb reste utilis\u00e9 dans plusieurs documents officiels) \u2014 fichier <code>liste-criteres-TGV_v2024-06-18.xls<\/code>, derni\u00e8re version connue \u00e0 la date de cet article \u2014 compte exactement <strong>254 crit\u00e8res r\u00e9partis en 6 volets<\/strong> :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S\u00e9curit\u00e9<\/strong> : 104 crit\u00e8res (40,9 %)<\/li>\n\n\n\n<li><strong>PRPS \u2014 Protection des renseignements personnels et de sant\u00e9<\/strong> : 75 crit\u00e8res (29,5 %)<\/li>\n\n\n\n<li><strong>Interop\u00e9rabilit\u00e9<\/strong> : 56 crit\u00e8res (22,0 %)<\/li>\n\n\n\n<li><strong>Technologie<\/strong> : 9 crit\u00e8res (3,5 %)<\/li>\n\n\n\n<li><strong>Performance<\/strong> : 7 crit\u00e8res (2,8 %)<\/li>\n\n\n\n<li><strong>G\u00e9n\u00e9ral<\/strong> : 3 crit\u00e8res (1,2 %)<\/li>\n<\/ul>\n\n\n\n<p>Le certificat est valide <strong>5 ans<\/strong> avec renouvellement annuel par autod\u00e9claration du fournisseur <strong>\u00e9valu\u00e9e par le Bureau de certification<\/strong> (sous r\u00e9serve d&rsquo;absence de changement majeur).<\/p>\n\n\n\n<p><strong>Aucun r\u00e9f\u00e9rentiel international ne couvre les volets Performance, Technologie, Interop\u00e9rabilit\u00e9 et G\u00e9n\u00e9ral<\/strong>, qui repr\u00e9sentent ensemble <strong>75 crit\u00e8res (29,5 % du r\u00e9f\u00e9rentiel TGV)<\/strong> et incluent l&rsquo;arrimage au Dossier sant\u00e9 Qu\u00e9bec (DSQ), l&rsquo;identification des usagers via NAM\/NIU\/GIU, l&rsquo;h\u00e9bergement au Qu\u00e9bec et l&rsquo;interface fran\u00e7aise obligatoire.<\/p>\n\n\n\n<p>Cet article :<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>d\u00e9crit la structure officielle des 254 crit\u00e8res;<\/li>\n\n\n\n<li>compare la TGV avec quatre cadres de conformit\u00e9 fr\u00e9quemment d\u00e9tenus (Loi 25, HIPAA Security Rule, SOC 2, ISO 27001:2022);<\/li>\n\n\n\n<li>explique pourquoi un certificat ISO 27001:2022 ne dispense pas du dossier TGV (et inversement);<\/li>\n\n\n\n<li>propose une strat\u00e9gie de s\u00e9quencement pour les fournisseurs PST.<\/li>\n<\/ol>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Sommaire<\/h2>\n\n\n\n<ol class=\"wp-block-list\">\n<li><a href=\"#1-quest-ce-que-la-certification-tgv\">Qu&rsquo;est-ce que la certification TGV?<\/a><\/li>\n\n\n\n<li><a href=\"#2-structure-officielle-des-254-criteres\">Structure officielle des 254 crit\u00e8res<\/a><\/li>\n\n\n\n<li><a href=\"#3-smsi-vs-verification-detat\">SMSI vs v\u00e9rification d&rsquo;\u00e9tat : comprendre la diff\u00e9rence avant de comparer<\/a><\/li>\n\n\n\n<li><a href=\"#4-tgv-vs-loi-25\">TGV vs Loi 25<\/a><\/li>\n\n\n\n<li><a href=\"#5-tgv-vs-hipaa\">TGV vs HIPAA Security Rule<\/a><\/li>\n\n\n\n<li><a href=\"#6-tgv-vs-soc-2\">TGV vs SOC 2<\/a><\/li>\n\n\n\n<li><a href=\"#7-tgv-vs-iso-270012022\">Comment ISO 27001:2022 se compare-t-elle \u00e0 la TGV?<\/a><\/li>\n\n\n\n<li><a href=\"#8-tableau-comparatif\">Tableau comparatif synth\u00e9tique<\/a><\/li>\n\n\n\n<li><a href=\"#9-architecture-de-confiance\">Architecture de confiance et cha\u00eene d&rsquo;accr\u00e9ditation<\/a><\/li>\n\n\n\n<li><a href=\"#10-strategie-de-sequencement\">Comment se pr\u00e9parer \u00e0 la certification TGV \u00e0 partir de r\u00e9f\u00e9rentiels existants?<\/a><\/li>\n\n\n\n<li><a href=\"#11-glossaire\">Glossaire<\/a><\/li>\n\n\n\n<li><a href=\"#12-faq\">FAQ<\/a><\/li>\n\n\n\n<li><a href=\"#13-sources-et-methodologie\">Sources et m\u00e9thodologie<\/a><\/li>\n<\/ol>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">1. Qu&rsquo;est-ce que la certification TGV?<\/h2>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>En bref :<\/strong> La certification TGV (Trousse globale de v\u00e9rification) est l&rsquo;attestation r\u00e9glementaire du MSSS du Qu\u00e9bec exig\u00e9e pour tout produit ou service technologique manipulant des renseignements de sant\u00e9. Elle est d\u00e9livr\u00e9e par le Bureau de certification du MSSS et atteste qu&rsquo;un PST satisfait les 254 crit\u00e8res du r\u00e9f\u00e9rentiel officiel publi\u00e9 par le minist\u00e8re.<\/p>\n<\/blockquote>\n\n\n\n<p>La <strong>certification TGV<\/strong> (acronyme de <strong>Trousse globale de v\u00e9rification<\/strong>) est une attestation gouvernementale d\u00e9livr\u00e9e par le <strong>Bureau de certification<\/strong> du MSSS (anciennement Bureau de certification et d&rsquo;homologation, BCH). Elle confirme qu&rsquo;un produit ou service technologique r\u00e9pond aux exigences sectorielles du SSSS qu\u00e9b\u00e9cois en mati\u00e8re de s\u00e9curit\u00e9, de protection des renseignements personnels et de sant\u00e9, de performance, de technologie, d&rsquo;interop\u00e9rabilit\u00e9 et d&rsquo;exigences g\u00e9n\u00e9rales (fran\u00e7ais, absence de publicit\u00e9).<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>D\u00e9sambigu\u00efsation<\/strong> : \u00ab TGV \u00bb d\u00e9signe ici la Trousse globale de v\u00e9rification du Qu\u00e9bec, et non le train \u00e0 grande vitesse fran\u00e7ais.<\/p>\n<\/blockquote>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">1.1 Qui doit obtenir la certification TGV?<\/h3>\n\n\n\n<p>La certification est <strong>obligatoire<\/strong> lorsqu&rsquo;un PST :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>collecte, conserve, utilise, modifie, communique ou d\u00e9truit des renseignements de sant\u00e9 et de services sociaux (RSSS);<\/li>\n\n\n\n<li>s&rsquo;arrime \u00e0 un actif informationnel d&rsquo;int\u00e9r\u00eat commun manipulant des RSSS (par exemple le DSQ);<\/li>\n\n\n\n<li>est d\u00e9ploy\u00e9 dans plus d&rsquo;un \u00e9tablissement de sant\u00e9 du Qu\u00e9bec avec acc\u00e8s Web.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">1.2 Combien de temps dure la certification TGV?<\/h3>\n\n\n\n<p>Le certificat TGV est <strong>valide 5 ans<\/strong>, avec <strong>renouvellement annuel par autod\u00e9claration du fournisseur \u00e9valu\u00e9e par le Bureau de certification<\/strong>. Selon la page officielle du MSSS, <em>\u00ab la dur\u00e9e de validit\u00e9 de toutes les certifications d\u00e9livr\u00e9es par le Bureau de certification est de cinq ans. Cependant, elles sont renouvelables annuellement apr\u00e8s \u00e9valuation du formulaire d&rsquo;autod\u00e9claration d\u00e9montrant le respect des engagements pris en regard \u00e0 la certification obtenue. La certification est valide tant qu&rsquo;il n&rsquo;y a pas eu de changements, \u00e0 l&rsquo;application elle-m\u00eame ou dans les syst\u00e8mes informationnels du secteur de la sant\u00e9 et des services sociaux. \u00bb<\/em> (Source : <a href=\"https:\/\/msss.gouv.qc.ca\/professionnels\/certification-produits-et-services-technologiques\/\" rel=\"nofollow noopener\" target=\"_blank\">msss.gouv.qc.ca\/professionnels\/certification-produits-et-services-technologiques<\/a>.) L&rsquo;<strong>\u00e9tape d&rsquo;\u00e9valuation par le Bureau<\/strong> distingue ce m\u00e9canisme d&rsquo;une simple auto-attestation.<\/p>\n\n\n\n<p>Le processus d&rsquo;obtention se d\u00e9roule en trois \u00e9tapes :<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Pr\u00e9paration<\/strong> : 1 \u00e0 6 semaines, accompagn\u00e9e par le BCH.<\/li>\n\n\n\n<li><strong>V\u00e9rification<\/strong> : 30 jours ouvrables, r\u00e9alis\u00e9e par une firme externe sp\u00e9cialis\u00e9e reconnue par le BCH.<\/li>\n\n\n\n<li><strong>Suivi continu<\/strong> : maintien de la conformit\u00e9 avec d\u00e9p\u00f4ts annuels.<\/li>\n<\/ol>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">1.3 Combien co\u00fbte une certification TGV?<\/h3>\n\n\n\n<p>Le BCH ne publie pas de bar\u00e8me. Le co\u00fbt total d\u00e9pend de la maturit\u00e9 initiale du PST, de la firme v\u00e9rificatrice retenue, de l&rsquo;envergure du test d&rsquo;intrusion et du niveau d&rsquo;accompagnement pr\u00e9paratoire. Un fournisseur souhaitant une estimation chiffr\u00e9e devrait consulter directement plusieurs firmes v\u00e9rificatrices reconnues par le BCH.<\/p>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">2. Structure officielle des 254 crit\u00e8res<\/h2>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>En bref :<\/strong> Selon le fichier officiel <code>liste-criteres-TGV_v2024-06-18.xls<\/code> publi\u00e9 par le MSSS le 18 juin 2024, le r\u00e9f\u00e9rentiel TGV comporte exactement 254 crit\u00e8res organis\u00e9s en 6 volets. Le volet S\u00e9curit\u00e9 repr\u00e9sente 104 crit\u00e8res (40,9 %), le volet PRPS 75 crit\u00e8res (29,5 %), le volet Interop\u00e9rabilit\u00e9 56 crit\u00e8res (22,0 %), et les volets Technologie (9), Performance (7) et G\u00e9n\u00e9ral (3) totalisent 19 crit\u00e8res (7,5 %).<\/p>\n<\/blockquote>\n\n\n\n<p>Le fichier officiel <code>liste-criteres-TGV_v2024-06-18.xls<\/code>, publi\u00e9 par le MSSS, contient <strong>254 crit\u00e8res<\/strong> organis\u00e9s en six groupes :<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Groupe<\/th><th>Codes<\/th><th>Crit\u00e8res<\/th><th>%<\/th><th>Cadre normatif d&rsquo;inspiration<\/th><\/tr><\/thead><tbody><tr><td><strong>S\u00e9curit\u00e9<\/strong><\/td><td>S01-S16<\/td><td><strong>104<\/strong><\/td><td>40,9 %<\/td><td>ISO\/IEC 27001:2013, ISO\/IEC 27002<\/td><\/tr><tr><td><strong>PRPS<\/strong><\/td><td>P01-P11<\/td><td><strong>75<\/strong><\/td><td>29,5 %<\/td><td>ISO\/IEC 29100, Loi 25, LSSSS<\/td><\/tr><tr><td><strong>Interop\u00e9rabilit\u00e9<\/strong><\/td><td>I01-I57<\/td><td><strong>56<\/strong><\/td><td>22,0 %<\/td><td>FHIR, HL7v3, normes provinciales<\/td><\/tr><tr><td><strong>Technologie<\/strong><\/td><td>T01-T09<\/td><td><strong>9<\/strong><\/td><td>3,5 %<\/td><td>Architecture, h\u00e9bergement, accessibilit\u00e9<\/td><\/tr><tr><td><strong>Performance<\/strong><\/td><td>PF01-PF07<\/td><td><strong>7<\/strong><\/td><td>2,8 %<\/td><td>Standards de performance applicative<\/td><\/tr><tr><td><strong>G\u00e9n\u00e9ral<\/strong><\/td><td>G01-G02 et I10<\/td><td><strong>3<\/strong><\/td><td>1,2 %<\/td><td>Sp\u00e9cificit\u00e9s qu\u00e9b\u00e9coises (fran\u00e7ais, publicit\u00e9)<\/td><\/tr><tr><td><strong>Total<\/strong><\/td><td><\/td><td><strong>254<\/strong><\/td><td>100 %<\/td><td><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>Note de m\u00e9thodologie<\/strong>. Le fichier officiel contient une <strong>anomalie de num\u00e9rotation<\/strong> : le crit\u00e8re cod\u00e9 <code>S08.19<\/code> (sur la d\u00e9connexion automatique de session) est en r\u00e9alit\u00e9 cat\u00e9goris\u00e9 \u00ab Contr\u00f4le des acc\u00e8s \u00bb et appartient probablement au sous-domaine S06 (notre interpr\u00e9tation, fond\u00e9e sur la cat\u00e9gorie et la position s\u00e9quentielle entre S06.18 et S06.20; non confirm\u00e9e par communication officielle MSSS). Par cat\u00e9gorie r\u00e9elle, S06 compte 24 crit\u00e8res et S08 en compte 4. Par code Num strict tel que publi\u00e9, S06 = 23 et S08 = 5. Cette anomalie n&rsquo;invalide pas le total de 104 crit\u00e8res au volet S\u00e9curit\u00e9, mais elle illustre l&rsquo;importance de lire le fichier source attentivement.<\/p>\n<\/blockquote>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">2.1 Le volet S\u00e9curit\u00e9 (104 crit\u00e8res, 16 sous-domaines)<\/h3>\n\n\n\n<p>Volet le plus volumineux du r\u00e9f\u00e9rentiel. Les 16 sous-domaines suivent une structure inspir\u00e9e de l&rsquo;<strong>ISO 27001:2013<\/strong> (qui comportait 14 domaines dans son Annexe A) :<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Code<\/th><th>Sous-domaine officiel<\/th><th>Crit\u00e8res<\/th><\/tr><\/thead><tbody><tr><td>S01<\/td><td>Gestion des risques<\/td><td>3<\/td><\/tr><tr><td>S02<\/td><td>Politique de s\u00e9curit\u00e9<\/td><td>4<\/td><\/tr><tr><td>S03<\/td><td>Organisation de la s\u00e9curit\u00e9<\/td><td>6<\/td><\/tr><tr><td>S04<\/td><td>S\u00e9curit\u00e9 des ressources humaines<\/td><td>5<\/td><\/tr><tr><td>S05<\/td><td>Gestion des actifs<\/td><td>8<\/td><\/tr><tr><td><strong>S06<\/strong><\/td><td><strong>Contr\u00f4le des acc\u00e8s<\/strong><\/td><td><strong>23<\/strong> (24 par cat\u00e9gorie)<\/td><\/tr><tr><td>S07<\/td><td>Cryptographie<\/td><td>3<\/td><\/tr><tr><td>S08<\/td><td>S\u00e9curit\u00e9 physique et environnementale<\/td><td>4 (5 incluant l&rsquo;anomalie)<\/td><\/tr><tr><td><strong>S09<\/strong><\/td><td><strong>S\u00e9curit\u00e9 li\u00e9e \u00e0 l&rsquo;exploitation<\/strong><\/td><td><strong>12<\/strong><\/td><\/tr><tr><td>S10<\/td><td>Journalisation et surveillance<\/td><td>7<\/td><\/tr><tr><td>S11<\/td><td>S\u00e9curit\u00e9 des communications<\/td><td>5<\/td><\/tr><tr><td>S12<\/td><td>Acquisition, d\u00e9veloppement et maintenance<\/td><td>8<\/td><\/tr><tr><td>S13<\/td><td>Relation avec les fournisseurs<\/td><td>6<\/td><\/tr><tr><td>S14<\/td><td>Gestion des incidents<\/td><td>3<\/td><\/tr><tr><td>S15<\/td><td>Continuit\u00e9 de l&rsquo;activit\u00e9 (aspects s\u00e9curit\u00e9)<\/td><td>3<\/td><\/tr><tr><td>S16<\/td><td>Gestion de la conformit\u00e9<\/td><td>3<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Le sous-domaine <strong>Contr\u00f4le des acc\u00e8s<\/strong> est nettement le plus volumineux et concentre pr\u00e8s d&rsquo;un quart du volet S\u00e9curit\u00e9. Voir notre <a href=\"\/blog\/volet-securite-tgv-s01-s16-criteres\">article d\u00e9di\u00e9 au volet S\u00e9curit\u00e9 TGV<\/a> pour le d\u00e9tail des 16 sous-domaines avec citations litt\u00e9rales des crit\u00e8res.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">2.2 Le volet PRPS (75 crit\u00e8res, 11 sous-domaines)<\/h3>\n\n\n\n<p>Calqu\u00e9 sur les <strong>11 principes de l&rsquo;ISO\/IEC 29100<\/strong> :<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Code<\/th><th>Sous-domaine officiel<\/th><th>Crit\u00e8res<\/th><\/tr><\/thead><tbody><tr><td>P01<\/td><td>Responsabilit\u00e9<\/td><td>10<\/td><\/tr><tr><td>P02<\/td><td>Lic\u00e9it\u00e9 et sp\u00e9cification de la finalit\u00e9<\/td><td>10<\/td><\/tr><tr><td>P03<\/td><td>Limitation de la collecte<\/td><td>8<\/td><\/tr><tr><td>P04<\/td><td>Ouverture, transparence et information<\/td><td>7<\/td><\/tr><tr><td>P05<\/td><td>Limitation de l&rsquo;utilisation et de la divulgation<\/td><td>8<\/td><\/tr><tr><td>P06<\/td><td>Consentement et choix<\/td><td>7<\/td><\/tr><tr><td>P07<\/td><td>Exactitude et qualit\u00e9<\/td><td>6<\/td><\/tr><tr><td>P08<\/td><td>S\u00e9curit\u00e9 des renseignements personnels<\/td><td>8<\/td><\/tr><tr><td>P09<\/td><td>Participation et acc\u00e8s individuels<\/td><td>3<\/td><\/tr><tr><td>P10<\/td><td>Limitation de la conservation<\/td><td>4<\/td><\/tr><tr><td>P11<\/td><td>Minimisation des renseignements personnels<\/td><td>4<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Le crit\u00e8re <strong>P02.10<\/strong> m\u00e9rite une mention particuli\u00e8re. Il interdit explicitement <em>\u00ab l&rsquo;utilisation secondaire des donn\u00e9es [\u2026] (m\u00eame si les donn\u00e9es sont anonymis\u00e9es, s&rsquo;il s&rsquo;agit de r\u00e9sultats d&rsquo;analyses statistiques ou de m\u00e9gadonn\u00e9es) \u00bb<\/em>. Cette restriction est <strong>plus stricte<\/strong> que les r\u00e9gimes comparables : le <strong>RGPD<\/strong> consid\u00e8re les donn\u00e9es pleinement anonymis\u00e9es comme <strong>hors de son champ d&rsquo;application<\/strong> (consid\u00e9rant 26); l&rsquo;<strong>article 89 du RGPD<\/strong> autorise certains traitements secondaires \u00e0 des fins de recherche scientifique, statistique ou archivistique sous conditions de garanties; <strong>HIPAA Privacy Rule<\/strong> d\u00e9finit deux m\u00e9canismes de d\u00e9-identification \u2014 <strong>Safe Harbor<\/strong> (45 CFR 164.514(b)(2), suppression de 18 identifiants explicitement list\u00e9s) et <strong>Expert Determination<\/strong> (45 CFR 164.514(b)(1), avis statistique d&rsquo;un expert qualifi\u00e9 sur le risque de r\u00e9-identification) \u2014 qui autorisent divers usages secondaires une fois les conditions remplies. La TGV adopte une position maximaliste sectorielle sant\u00e9 : ni anonymisation ni usage statistique secondaire ne sont permis sans autorisation explicite.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">2.3 Le volet Interop\u00e9rabilit\u00e9 (56 crit\u00e8res) \u2014 la signature qu\u00e9b\u00e9coise<\/h3>\n\n\n\n<p>C&rsquo;est le volet le plus distinctif de la TGV et celui que les fournisseurs internationaux sous-estiment syst\u00e9matiquement. Selon le fichier officiel, ses 56 crit\u00e8res se r\u00e9partissent en trois grands blocs :<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Bloc<\/th><th>Codes<\/th><th>Crit\u00e8res<\/th><th>Contenu<\/th><\/tr><\/thead><tbody><tr><td><strong>Standards techniques<\/strong><\/td><td>I01-I09<\/td><td>9<\/td><td>Authentification LDAP\/LDAPS, accessibilit\u00e9 Web, FHIR, HL7v3, connecteurs SOAP\/XML\/HTTP\/SMTP\/TCP-IP<\/td><\/tr><tr><td><strong>Identification de l&rsquo;usager<\/strong><\/td><td>I10-I21, I38, I44-I51<\/td><td>22<\/td><td>NAM, NIU, GIU, IPM\u00c9, pr\u00e9nom l\u00e9gal, date de naissance, parents biologiques, conjoint, autres pr\u00e9noms, pays de naissance, langue<\/td><\/tr><tr><td><strong>Adresse et communication<\/strong><\/td><td>I22-I37, I52-I57<\/td><td>25<\/td><td>Adresse r\u00e9sidentielle, courriel, t\u00e9l\u00e9phone, type de coordonn\u00e9e, dates de validit\u00e9 d&rsquo;adresse<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Le crit\u00e8re <strong>I06<\/strong> exige par exemple que la solution puisse appeler les services communs provinciaux du <strong>GIU<\/strong> au moment de la cr\u00e9ation d&rsquo;un dossier. Le crit\u00e8re <strong>I08<\/strong> exige le support <strong>FHIR<\/strong> (et optionnellement HL7v3).<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">2.4 Volets Performance, Technologie et G\u00e9n\u00e9ral (19 crit\u00e8res)<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Volet<\/th><th>Codes<\/th><th>Crit\u00e8res<\/th><th>Contenu<\/th><\/tr><\/thead><tbody><tr><td><strong>Performance<\/strong><\/td><td>PF01-PF07<\/td><td>7<\/td><td>Documentation de la latence, bande passante, temps de r\u00e9ponse, gestion des paquets<\/td><\/tr><tr><td><strong>Technologie<\/strong><\/td><td>T01-T09<\/td><td>9<\/td><td>Accessibilit\u00e9 Web (Conseil du tr\u00e9sor du Qu\u00e9bec), architecture document\u00e9e, base de donn\u00e9es extensible, <strong>s\u00e9paration physique ou logique des donn\u00e9es entre organisations dispensatrices<\/strong> (T05), arrimage Active Directory\/LDAP du RITM<\/td><\/tr><tr><td><strong>G\u00e9n\u00e9ral<\/strong><\/td><td>G01-G02 et I10<\/td><td>3<\/td><td>Interface en fran\u00e7ais obligatoire (G01), absence de publicit\u00e9 (G02), nom de famille l\u00e9gal (I10)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">3. SMSI vs v\u00e9rification d&rsquo;\u00e9tat : comprendre la diff\u00e9rence avant de comparer<\/h2>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>En bref :<\/strong> ISO 27001:2022 atteste qu&rsquo;une organisation poss\u00e8de un syst\u00e8me de management qui g\u00e8re ses contr\u00f4les de s\u00e9curit\u00e9 dans le temps. La TGV atteste qu&rsquo;\u00e0 un moment donn\u00e9, une version d&rsquo;un produit ou service technologique satisfait 254 crit\u00e8res. Ce sont deux objets fondamentalement diff\u00e9rents \u2014 c&rsquo;est pourquoi les pourcentages de recouvrement entre eux mesurent la r\u00e9utilisabilit\u00e9 documentaire, pas une \u00e9quivalence conceptuelle.<\/p>\n<\/blockquote>\n\n\n\n<p>Avant de comparer la TGV avec d&rsquo;autres r\u00e9f\u00e9rentiels, une distinction conceptuelle est n\u00e9cessaire : <strong>TGV et ISO 27001:2022 attestent des choses fondamentalement diff\u00e9rentes<\/strong>.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">3.1 ISO 27001:2022 atteste un syst\u00e8me de management<\/h3>\n\n\n\n<p><strong>ISO\/IEC 27001:2022 n&rsquo;est pas un r\u00e9f\u00e9rentiel de contr\u00f4les.<\/strong> C&rsquo;est un r\u00e9f\u00e9rentiel de <strong>syst\u00e8me de management de la s\u00e9curit\u00e9 de l&rsquo;information (SMSI)<\/strong>. La norme contient :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Clauses 4 \u00e0 10<\/strong> : exigences obligatoires sur le syst\u00e8me de management lui-m\u00eame (contexte, leadership, planification, soutien, op\u00e9ration, \u00e9valuation, am\u00e9lioration);<\/li>\n\n\n\n<li><strong>Annexe A<\/strong> : un catalogue de 93 contr\u00f4les que l&rsquo;organisation choisit de mettre en \u0153uvre selon les r\u00e9sultats de son analyse de risques.<\/li>\n<\/ul>\n\n\n\n<p>Une certification ISO 27001:2022 atteste que <strong>l&rsquo;organisation poss\u00e8de et maintient un syst\u00e8me<\/strong> qui :<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>d\u00e9cide quels contr\u00f4les mettre en place (\u00e0 partir de l&rsquo;analyse de risques),<\/li>\n\n\n\n<li>les met en place,<\/li>\n\n\n\n<li>surveille leur efficacit\u00e9,<\/li>\n\n\n\n<li>les am\u00e9liore en continu (clause 10).<\/li>\n<\/ol>\n\n\n\n<p>Le certificat n&rsquo;est <strong>pas<\/strong> une attestation que tous les 93 contr\u00f4les sont en place. Il atteste que le syst\u00e8me qui d\u00e9cide quels contr\u00f4les mettre en place fonctionne.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">3.2 La TGV atteste un \u00e9tat du PST<\/h3>\n\n\n\n<p>La <strong>TGV<\/strong> v\u00e9rifie qu&rsquo;\u00e0 un moment donn\u00e9, <strong>la version X du PST Y satisfait les 254 crit\u00e8res<\/strong> (ou b\u00e9n\u00e9ficie d&rsquo;une exception explicite du MSSS). Le certificat couvre une version applicative sp\u00e9cifique. Si le PST \u00e9volue substantiellement, la certification doit \u00eatre renouvel\u00e9e.<\/p>\n\n\n\n<p>C&rsquo;est plus proche d&rsquo;une <strong>attestation produit<\/strong> (comme le marquage CE en Europe) que d&rsquo;une <strong>certification syst\u00e8me de management<\/strong> (comme ISO 27001:2022).<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">3.3 Cons\u00e9quence pratique<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>ISO 27001:2022<\/th><th>TGV<\/th><\/tr><\/thead><tbody><tr><td>Atteste un syst\u00e8me qui maintient l&rsquo;\u00e9tat<\/td><td>Atteste l&rsquo;\u00e9tat \u00e0 un moment donn\u00e9<\/td><\/tr><tr><td>Audits de surveillance annuels (typiquement environ un tiers du SMSI couvert par ann\u00e9e)<\/td><td>Suivi annuel + recertification \u00e0 5 ans<\/td><\/tr><tr><td>Re-certification triennale compl\u00e8te<\/td><td>Re-certification quinquennale compl\u00e8te<\/td><\/tr><tr><td>P\u00e9rim\u00e8tre = SMSI (peut couvrir plusieurs produits ou services)<\/td><td>P\u00e9rim\u00e8tre = une version d&rsquo;un PST<\/td><\/tr><tr><td>Gouvernance bas\u00e9e sur le risque (SoA)<\/td><td>Liste prescriptive de crit\u00e8res \u00e0 d\u00e9montrer<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Cette diff\u00e9rence structurelle explique pourquoi <strong>les pourcentages de recouvrement entre les deux cadres sont des estimations qualitatives<\/strong> : on ne compare pas deux objets de m\u00eame nature.<\/p>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">4. TGV vs Loi 25 et Loi 5 (LRSSS)<\/h2>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>En bref :<\/strong> La Loi 25 (depuis 2022-2024) et la Loi 5\/LRSSS (depuis 1er juillet 2024) encadrent les renseignements personnels au Qu\u00e9bec \u2014 la premi\u00e8re de mani\u00e8re g\u00e9n\u00e9rale, la seconde sp\u00e9cifiquement pour les renseignements de sant\u00e9. La TGV int\u00e8gre les obligations principales de ces lois dans son volet PRPS (75 crit\u00e8res) et y ajoute des exigences sectorielles (cartographie RSSS, h\u00e9bergement au Qu\u00e9bec, arrimage DSQ, interdiction d&rsquo;usage secondaire). Une organisation conforme TGV est de facto align\u00e9e avec les deux lois sur les RSSS qu&rsquo;elle manipule.<\/p>\n<\/blockquote>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">4.1 Deux lois qui se compl\u00e8tent<\/h3>\n\n\n\n<p>Deux lois qu\u00e9b\u00e9coises encadrent la protection des renseignements personnels en sant\u00e9 :<\/p>\n\n\n\n<p><strong>La Loi 25<\/strong> (officiellement <em>Loi modernisant des dispositions l\u00e9gislatives en mati\u00e8re de protection des renseignements personnels<\/em>), entr\u00e9e en vigueur graduellement entre septembre 2022 et septembre 2024, s&rsquo;applique \u00e0 toutes les organisations qu\u00e9b\u00e9coises qui traitent des renseignements personnels. Les sanctions peuvent atteindre 25 millions de dollars ou 4 % du chiffre d&rsquo;affaires mondial.<\/p>\n\n\n\n<p><strong>La Loi 5<\/strong> (officiellement <em>Loi sur les renseignements de sant\u00e9 et de services sociaux<\/em>, ou LRSSS) est <strong>entr\u00e9e en vigueur graduellement \u00e0 compter du 1er juillet 2024<\/strong>; certaines dispositions sont report\u00e9es \u00e0 des dates ult\u00e9rieures. Elle instaure un <strong>cadre juridique exclusif<\/strong> pour la gestion des renseignements de sant\u00e9 et de services sociaux (RSSS) au Qu\u00e9bec. Elle reprend plusieurs exigences de la Loi 25 mais introduit un r\u00e9gime sp\u00e9cifique pour le secteur sant\u00e9 : droits de restriction d&rsquo;acc\u00e8s par les usagers, cadre d&rsquo;acc\u00e8s pour les professionnels et les chercheurs, int\u00e9gration au futur Dossier sant\u00e9 num\u00e9rique (DSN). Pour les organismes de sant\u00e9 vis\u00e9s, la Loi 5 <strong>soustrait<\/strong> les RSSS du r\u00e9gime g\u00e9n\u00e9ral de la Loi 25. Les fournisseurs PST devraient consulter la communication la plus r\u00e9cente du MSSS et de la <strong>Commission d&rsquo;acc\u00e8s \u00e0 l&rsquo;information du Qu\u00e9bec (CAI)<\/strong> pour le statut applicable \u00e0 leur p\u00e9rim\u00e8tre.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">4.2 Comparaison directe<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Dimension<\/th><th>TGV<\/th><th>Loi 25<\/th><th>Loi 5 (LRSSS)<\/th><\/tr><\/thead><tbody><tr><td>Nature<\/td><td>Certification technique sectorielle<\/td><td>Loi g\u00e9n\u00e9rale<\/td><td>Loi sectorielle sant\u00e9<\/td><\/tr><tr><td>Port\u00e9e<\/td><td>PST manipulant des RSSS<\/td><td>Toutes les organisations au Qu\u00e9bec<\/td><td>Organismes de sant\u00e9 et services sociaux<\/td><\/tr><tr><td>Champ<\/td><td>6 volets<\/td><td>RP uniquement<\/td><td>RSSS uniquement<\/td><\/tr><tr><td>Caract\u00e8re<\/td><td>Obligatoire pour le march\u00e9 SSSS<\/td><td>Obligatoire toute org. traitant des RP<\/td><td>Obligatoire organismes de sant\u00e9<\/td><\/tr><tr><td>R\u00e9gulateur<\/td><td>Bureau de certification (MSSS)<\/td><td>CAI<\/td><td>CAI (responsable de l&rsquo;application)<\/td><\/tr><tr><td>M\u00e9canisme<\/td><td>V\u00e9rification externe + attestation 5 ans<\/td><td>Sanctions CAI<\/td><td>Sanctions CAI; obligations sp\u00e9cifiques RSSS<\/td><\/tr><tr><td>Entr\u00e9e en vigueur<\/td><td>TGV depuis 2014 (versions successives)<\/td><td>Graduelle 2022-2024<\/td><td>1er juillet 2024<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">4.3 Recouvrement<\/h3>\n\n\n\n<p>Le <strong>volet PRPS de la TGV<\/strong> (75 crit\u00e8res) couvre l&rsquo;ensemble des obligations principales de la Loi 25 et y ajoute :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>exigences de <strong>cartographie des RSSS<\/strong>;<\/li>\n\n\n\n<li>exigences d&rsquo;<strong>h\u00e9bergement au Qu\u00e9bec<\/strong> (P08.07) ou d\u00e9monstration d&rsquo;un r\u00e9gime juridique \u00e9quivalent;<\/li>\n\n\n\n<li>arrimage au <strong>DSQ<\/strong> avec marquage et tra\u00e7abilit\u00e9 sp\u00e9cifique (P03.08, P06.07);<\/li>\n\n\n\n<li>restrictions plus strictes sur l&rsquo;usage secondaire (P02.10);<\/li>\n\n\n\n<li>sp\u00e9cificit\u00e9s sectorielles d\u00e9coulant de la <strong>LSSSS<\/strong> et d\u00e9sormais de la <strong>Loi 5 (LRSSS)<\/strong>.<\/li>\n<\/ul>\n\n\n\n<p>Un fournisseur PST conforme TGV est de facto align\u00e9 avec les obligations principales de la Loi 25 et de la Loi 5 (LRSSS) sur les RSSS qu&rsquo;il manipule. L&rsquo;inverse est partiel : la conformit\u00e9 Loi 25 couvre la majorit\u00e9 du volet PRPS de la TGV, mais l&rsquo;ajout du volet sectoriel sant\u00e9 (cartographie RSSS, h\u00e9bergement, DSQ, P02.10) reste \u00e0 faire. <strong>Qualitativement, la Loi 25 couvre principalement le volet PRPS (75 crit\u00e8res sur 254 du r\u00e9f\u00e9rentiel TGV).<\/strong><\/p>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">5. TGV vs HIPAA Security Rule<\/h2>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>En bref :<\/strong> La HIPAA Security Rule est le r\u00e9gime am\u00e9ricain de protection des renseignements de sant\u00e9 \u00e9lectroniques. Elle est moins prescriptive que la TGV, qui int\u00e8gre 254 crit\u00e8res contre les 3 cat\u00e9gories de safeguards de HIPAA (administratif, physique, technique). Un fournisseur conforme HIPAA Security Rule couvre une fraction du volet S\u00e9curit\u00e9 TGV mais n&rsquo;aborde ni les volets sectoriels qu\u00e9b\u00e9cois (Interop\u00e9rabilit\u00e9, Performance, Technologie), ni le cadre PRP selon ISO 29100 retenu par la TGV.<\/p>\n<\/blockquote>\n\n\n\n<p>La <strong>HIPAA Security Rule<\/strong> (45 CFR Part 164, Subparts A &amp; C) impose aux entit\u00e9s assujetties am\u00e9ricaines (covered entities) et \u00e0 leurs business associates des mesures administratives, physiques et techniques pour prot\u00e9ger les renseignements de sant\u00e9 \u00e9lectroniques (ePHI).<\/p>\n\n\n\n<p>Une <strong>proposition de modification (NPRM) publi\u00e9e le 6 janvier 2025<\/strong> vise \u00e0 renforcer ces exigences (chiffrement syst\u00e9matique, MFA, v\u00e9rification annuelle des contr\u00f4les techniques par les business associates). Au moment de la r\u00e9daction (avril 2026), cette NPRM n&rsquo;est pas encore finalis\u00e9e.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">5.1 Comparaison directe<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Dimension<\/th><th>TGV<\/th><th>HIPAA Security Rule<\/th><\/tr><\/thead><tbody><tr><td>Juridiction<\/td><td>Qu\u00e9bec<\/td><td>\u00c9tats-Unis (f\u00e9d\u00e9ral)<\/td><\/tr><tr><td>Approche<\/td><td>Prescriptive et d\u00e9taill\u00e9e (254 crit\u00e8res)<\/td><td>Technologiquement neutre (3 cat\u00e9gories de safeguards)<\/td><\/tr><tr><td>Volet PRP<\/td><td>Int\u00e9gr\u00e9 (75 crit\u00e8res PRPS)<\/td><td>Couvert par la HIPAA Privacy Rule (s\u00e9par\u00e9e)<\/td><\/tr><tr><td>Performance et interop\u00e9rabilit\u00e9<\/td><td>Inclus (75 crit\u00e8res)<\/td><td>Non couvert<\/td><\/tr><tr><td>H\u00e9bergement<\/td><td>Au Qu\u00e9bec ou \u00e9quivalent (P08.07)<\/td><td>Aucune obligation territoriale<\/td><\/tr><tr><td>Test d&rsquo;intrusion<\/td><td>Obligatoire par firme reconnue (S16.02)<\/td><td>Non explicitement requis, mais le contr\u00f4le A.8.29 (Security testing) le couvre quand l&rsquo;organisation l&rsquo;impl\u00e9mente; pratique courante chez les organisations certifi\u00e9es<\/td><\/tr><tr><td>V\u00e9rification<\/td><td>Firme externe + BCH<\/td><td>Auto-attestation; audits OCR si incident<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">5.2 Recouvrement<\/h3>\n\n\n\n<p>La HIPAA Security Rule actuelle est <strong>moins prescriptive<\/strong> que la TGV. Le volet \u00ab Technical Safeguards \u00bb de HIPAA recoupe une partie des sous-domaines S06, S07, S10, S11 de la TGV, mais sans descendre au m\u00eame niveau de d\u00e9tail.<\/p>\n\n\n\n<p>Un fournisseur conforme HIPAA Security Rule couvre principalement une fraction du volet S\u00e9curit\u00e9 TGV \u2014 qualitativement, une portion modeste du r\u00e9f\u00e9rentiel total, sans aucune contribution aux volets Performance, Technologie, Interop\u00e9rabilit\u00e9, G\u00e9n\u00e9ral, ni au volet PRPS qui suit l&rsquo;ISO 29100.<\/p>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">6. TGV vs SOC 2<\/h2>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>En bref :<\/strong> SOC 2 est une attestation commerciale volontaire publi\u00e9e par l&rsquo;AICPA, bas\u00e9e sur 61 Trust Services Criteria flexibles. La TGV est une certification r\u00e9glementaire sectorielle prescriptive avec 254 crit\u00e8res fixes. Un fournisseur certifi\u00e9 SOC 2 Type 2 couvre une portion du volet S\u00e9curit\u00e9 TGV; la couverture est plus large si les cat\u00e9gories Confidentialit\u00e9 et Privacy sont incluses, mais les volets sectoriels sant\u00e9 qu\u00e9b\u00e9cois (Interop\u00e9rabilit\u00e9, h\u00e9bergement au Qu\u00e9bec, arrimage DSQ) restent \u00e0 couvrir ind\u00e9pendamment.<\/p>\n<\/blockquote>\n\n\n\n<p>Le <strong>SOC 2<\/strong> est un cadre d&rsquo;attestation d\u00e9velopp\u00e9 par l&rsquo;AICPA, bas\u00e9 sur les <strong>Trust Services Criteria (TSC) de 2017<\/strong> mis \u00e0 jour avec des points de focus r\u00e9vis\u00e9s en 2022. Cinq cat\u00e9gories : S\u00e9curit\u00e9 (obligatoire), Disponibilit\u00e9, Int\u00e9grit\u00e9 du traitement, Confidentialit\u00e9, Vie priv\u00e9e. <strong>61 crit\u00e8res<\/strong> au total (33 sous S\u00e9curit\u00e9 + 28 additionnels).<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">6.1 Comparaison directe<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Dimension<\/th><th>TGV<\/th><th>SOC 2<\/th><\/tr><\/thead><tbody><tr><td>\u00c9metteur<\/td><td>MSSS \u2013 Bureau de certification (gouvernement)<\/td><td>AICPA (organisme professionnel priv\u00e9)<\/td><\/tr><tr><td>Type<\/td><td>Certification r\u00e9glementaire obligatoire<\/td><td>Attestation volontaire commerciale<\/td><\/tr><tr><td>Approche<\/td><td>Prescriptive<\/td><td>Crit\u00e8res flexibles, contr\u00f4les con\u00e7us par l&rsquo;organisation<\/td><\/tr><tr><td>Crit\u00e8res<\/td><td>254 fixes<\/td><td>33 + 28 = 61<\/td><\/tr><tr><td>Niveau de garantie<\/td><td>Attestation produit (version X)<\/td><td>Type 1 (syst\u00e8me con\u00e7u) ou Type 2 (syst\u00e8me op\u00e9rant sur 6-12 mois)<\/td><\/tr><tr><td>Cycle<\/td><td>Certification 5 ans + autod\u00e9claration annuelle \u00e9valu\u00e9e par le Bureau<\/td><td>Renouvellement annuel<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">6.2 Recouvrement<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>SOC 2 Type 2 \u2014 cat\u00e9gorie S\u00e9curit\u00e9 seule<\/strong> couvre une portion du volet S\u00e9curit\u00e9 TGV. Qualitativement, une fraction du r\u00e9f\u00e9rentiel total, principalement sur les contr\u00f4les techniques et organisationnels.<\/li>\n\n\n\n<li><strong>SOC 2 Type 2 \u2014 S\u00e9curit\u00e9 + Confidentialit\u00e9 + Privacy<\/strong> couvre une portion plus large, ajoutant un compl\u00e9ment sur le volet PRPS, sans toutefois aligner exactement sa structure (SOC 2 utilise les principes GAPP de l&rsquo;AICPA, structurellement diff\u00e9rents des 11 principes de l&rsquo;ISO 29100 retenus par la TGV).<\/li>\n<\/ul>\n\n\n\n<p>SOC 2 n&rsquo;aborde pas :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>les exigences sectorielles sant\u00e9 (interop\u00e9rabilit\u00e9 DSQ, h\u00e9bergement au Qu\u00e9bec, NAM\/NIU);<\/li>\n\n\n\n<li>la prescription technique au m\u00eame niveau de d\u00e9tail (par exemple, le crit\u00e8re <strong>S06.06<\/strong> TGV exige explicitement la MFA pour tout acc\u00e8s via r\u00e9seau public \u2014 SOC 2 le laisse au choix de l&rsquo;organisation).<\/li>\n<\/ul>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">7. Comment ISO 27001:2022 se compare-t-elle \u00e0 la TGV?<\/h2>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>En bref :<\/strong> ISO 27001:2022 est la norme internationale du syst\u00e8me de management de la s\u00e9curit\u00e9 de l&rsquo;information (SMSI), avec 93 contr\u00f4les dans son Annexe A. C&rsquo;est le r\u00e9f\u00e9rentiel international qui se rapproche le plus du volet S\u00e9curit\u00e9 de la TGV. Sur les 16 sous-domaines TGV : 11 sont en couverture directe avec ISO 27001:2022 (55 crit\u00e8res), 4 en couverture partielle (45 crit\u00e8res) et 1 en couverture inverse o\u00f9 ISO 27001 d\u00e9passe TGV (S01, 3 crit\u00e8res). ISO 27001:2022 ne couvre cependant aucun des 75 crit\u00e8res des volets Interop\u00e9rabilit\u00e9, Performance, Technologie et G\u00e9n\u00e9ral.<\/p>\n<\/blockquote>\n\n\n\n<p>C&rsquo;est la comparaison la plus pertinente pour la majorit\u00e9 des fournisseurs PST internationaux qui arrivent au Qu\u00e9bec.<\/p>\n\n\n\n<p>L&rsquo;<strong>ISO\/IEC 27001:2022<\/strong> est la norme internationale pour les SMSI. La version 2022 a r\u00e9organis\u00e9 l&rsquo;Annexe A en <strong>93 contr\u00f4les<\/strong> structur\u00e9s en <strong>4 th\u00e8mes<\/strong> :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>A.5 Organisationnels \u2014 37 contr\u00f4les<\/li>\n\n\n\n<li>A.6 Personnes \u2014 8 contr\u00f4les<\/li>\n\n\n\n<li>A.7 Physiques \u2014 14 contr\u00f4les<\/li>\n\n\n\n<li>A.8 Technologiques \u2014 34 contr\u00f4les<\/li>\n<\/ul>\n\n\n\n<p>11 nouveaux contr\u00f4les ont \u00e9t\u00e9 introduits par la version 2022 (notamment 5.7 Threat intelligence, 5.23 Cloud, 5.30 ICT readiness, 7.4 Physical monitoring, 8.9 Configuration management, 8.10 Information deletion, 8.11 Data masking, 8.12 DLP, 8.16 Monitoring, 8.23 Web filtering, 8.28 Secure coding).<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>Note importante sur la transition.<\/strong> La p\u00e9riode de transition entre ISO 27001:2013 et ISO 27001:2022 s&rsquo;est termin\u00e9e le <strong>31 octobre 2025<\/strong> (IAF Resolution 2021-22). Toutes les organisations certifi\u00e9es ISO 27001 doivent d\u00e9sormais l&rsquo;\u00eatre sur la version 2022. Les certifications 2013 ne sont plus valides.<\/p>\n<\/blockquote>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">7.1 Comparaison directe<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Dimension<\/th><th>TGV<\/th><th>ISO 27001:2022<\/th><\/tr><\/thead><tbody><tr><td>\u00c9metteur<\/td><td>MSSS \u2013 Bureau de certification<\/td><td>ISO\/IEC (international)<\/td><\/tr><tr><td>Type<\/td><td>Certification sectorielle obligatoire<\/td><td>Certification volontaire<\/td><\/tr><tr><td>Approche<\/td><td><strong>Prescriptive<\/strong> (crit\u00e8res \u00e0 d\u00e9montrer)<\/td><td><strong>Bas\u00e9e sur le risque<\/strong> (SMSI + Annexe A + SoA)<\/td><\/tr><tr><td>Niveau de garantie<\/td><td>Attestation produit (version X)<\/td><td>Certification syst\u00e8me de management<\/td><\/tr><tr><td>Structure<\/td><td>254 crit\u00e8res en 6 volets<\/td><td>Clauses 4-10 (SMSI obligatoire) + Annexe A (93 contr\u00f4les, applicabilit\u00e9 d\u00e9cid\u00e9e par SoA)<\/td><\/tr><tr><td>PRP<\/td><td>Int\u00e9gr\u00e9 (PRPS, 75 crit\u00e8res)<\/td><td>Partiel (A.5.34); ISO 27701 recommand\u00e9e en compl\u00e9ment<\/td><\/tr><tr><td>Performance \/ interop\u00e9rabilit\u00e9 sectorielles<\/td><td>Couvert<\/td><td>Non couvert<\/td><\/tr><tr><td>Cycle<\/td><td>5 ans + autod\u00e9claration annuelle \u00e9valu\u00e9e par le Bureau<\/td><td>3 ans + audits de surveillance annuels (typiquement environ un tiers du SMSI couvert par ann\u00e9e selon la programmation du Certification Body)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">7.2 Asym\u00e9trie fondamentale prescriptive vs bas\u00e9e sur le risque<\/h3>\n\n\n\n<p>L&rsquo;ISO 27001:2022 fonctionne sur une logique de <strong>gestion par le risque<\/strong>. L&rsquo;organisation publie une <strong>d\u00e9claration d&rsquo;applicabilit\u00e9 (SoA \u2014 Statement of Applicability)<\/strong> o\u00f9 certains contr\u00f4les peuvent \u00eatre document\u00e9s comme <strong>non applicables<\/strong> avec justification.<\/p>\n\n\n\n<p>La TGV ne permet pas cette logique : chaque crit\u00e8re doit \u00eatre d\u00e9montr\u00e9 ou faire l&rsquo;objet d&rsquo;une <strong>demande d&rsquo;exception explicite au MSSS<\/strong> (m\u00e9canisme cit\u00e9 par exemple aux crit\u00e8res S06.11 sur les mots de passe en dur et S06.18 sur les comptes g\u00e9n\u00e9riques).<\/p>\n\n\n\n<p>Cette asym\u00e9trie a deux implications pratiques :<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Un fournisseur certifi\u00e9 ISO 27001:2022 dont la SoA exclut certains contr\u00f4les physiques (parce qu&rsquo;il op\u00e8re 100 % en cloud) devra <strong>quand m\u00eame fournir des preuves au BCH<\/strong> sur ces contr\u00f4les, en s&rsquo;appuyant sur les attestations du fournisseur cloud.<\/li>\n\n\n\n<li>Le fournisseur peut demander une exception au MSSS si un crit\u00e8re ne s&rsquo;applique pas \u00e0 son architecture, mais l&rsquo;exception doit \u00eatre accord\u00e9e explicitement \u2014 ce n&rsquo;est pas \u00e9quivalent \u00e0 la SoA qui est unilat\u00e9rale.<\/li>\n<\/ol>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">7.3 Asym\u00e9trie sur la gestion des risques<\/h3>\n\n\n\n<p>Les <strong>3 crit\u00e8res S01 de la TGV<\/strong> (S01.01 \u00e9valuation initiale, S01.02 \u00e9valuations p\u00e9riodiques, S01.03 approbation par la direction) sont un <strong>sous-ensemble<\/strong> de ce qu&rsquo;exige ISO 27001:2022 sur la gestion des risques. Les exigences ISO comprennent :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Clause 6.1.2<\/strong> : m\u00e9thodologie d&rsquo;\u00e9valuation des risques avec crit\u00e8res d&rsquo;acceptation, identification, analyse, \u00e9valuation, comparabilit\u00e9 dans le temps;<\/li>\n\n\n\n<li><strong>Clause 6.1.3<\/strong> : traitement des risques avec choix d&rsquo;options, identification des contr\u00f4les, comparaison avec l&rsquo;Annexe A, production de la SoA, plan de traitement;<\/li>\n\n\n\n<li><strong>Clause 8.2-8.3<\/strong> : mise en \u0153uvre op\u00e9rationnelle des \u00e9valuations et des plans de traitement \u00e0 intervalles planifi\u00e9s.<\/li>\n<\/ul>\n\n\n\n<p>Pour un fournisseur partant d&rsquo;ISO 27001:2022, satisfaire S01 TGV est <strong>trivial<\/strong>. Pour un fournisseur partant uniquement de la TGV, d\u00e9montrer l&rsquo;\u00e9quivalence ISO 27001:2022 sur la gestion des risques demanderait un effort de structuration documentaire substantiel.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">7.4 Recouvrement entre TGV et ISO 27001:2022<\/h3>\n\n\n\n<p><strong>Dimension mesur\u00e9e.<\/strong> Les pourcentages pr\u00e9sent\u00e9s dans cette section et dans le TL;DR mesurent la <strong>r\u00e9utilisabilit\u00e9 documentaire et de preuves<\/strong> \u2014 c&rsquo;est-\u00e0-dire la mesure dans laquelle les artefacts produits pour satisfaire les contr\u00f4les d&rsquo;ISO 27001:2022 (politiques, proc\u00e9dures, captures, journaux, registres) peuvent \u00eatre r\u00e9utilis\u00e9s pour d\u00e9montrer les crit\u00e8res TGV moyennant un re-formatage. Cette dimension n&rsquo;est <strong>pas une \u00e9quivalence conceptuelle<\/strong> entre les deux r\u00e9f\u00e9rentiels (qui attestent d&rsquo;objets diff\u00e9rents \u2014 voir <a href=\"#3-smsi-vs-verification-detat\">section 3<\/a>).<\/p>\n\n\n\n<p><strong>Cartographie haut niveau du volet S\u00e9curit\u00e9 TGV (104 crit\u00e8res) avec ISO 27001:2022 :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>11 sous-domaines en couverture directe<\/strong> (S02-S05, S07, S08, S11-S15) \u2014 55 crit\u00e8res, \u2248 53 % du volet S.<\/li>\n\n\n\n<li><strong>4 sous-domaines en couverture partielle<\/strong> (S06, S09, S10, S16) \u2014 45 crit\u00e8res, \u2248 43 % du volet S; les contr\u00f4les ISO 27001:2022 couvrent la majorit\u00e9 des crit\u00e8res de ces sous-domaines, mais certains sont plus prescriptifs (5 essais, MFA universelle, CAPTCHA, sauvegardes anti-ran\u00e7ongiciels, EDR, prescription d&rsquo;une firme pentest reconnue par le MSSS).<\/li>\n\n\n\n<li><strong>1 sous-domaine en couverture inverse<\/strong> (S01) \u2014 3 crit\u00e8res, \u2248 3 % du volet S; ISO 27001:2022 d\u00e9passe largement les exigences TGV.<\/li>\n<\/ul>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>Note sur l&rsquo;h\u00e9t\u00e9rog\u00e9n\u00e9it\u00e9 interne des sous-domaines \u00ab Partielle \u00bb.<\/strong> L&rsquo;\u00e9tiquette \u00ab Partielle \u00bb au niveau du sous-domaine ne signifie pas que tous les crit\u00e8res du sous-domaine soient partiellement couverts. Au sein d&rsquo;un sous-domaine partiel comme S06 (23 crit\u00e8res), la majorit\u00e9 des crit\u00e8res correspond directement \u00e0 des contr\u00f4les Annexe A; seuls quelques-uns (5-6 typiquement) introduisent des prescriptions sectorielles sp\u00e9cifiques. Une cartographie au niveau crit\u00e8re donnerait probablement une distribution encore plus favorable au transfert depuis ISO 27001:2022. Cette cartographie au niveau crit\u00e8re est un livrable identifi\u00e9 comme \u00e0 venir.<\/p>\n<\/blockquote>\n\n\n\n<p>Pour le d\u00e9tail par sous-domaine et la cartographie vers les contr\u00f4les sp\u00e9cifiques de l&rsquo;Annexe A, consultez le <strong>tableau de cartographie<\/strong> dans notre <a href=\"\/blog\/volet-securite-tgv-s01-s16-criteres#5-cartographie-iso-270012022\">article d\u00e9di\u00e9 au volet S\u00e9curit\u00e9<\/a>.<\/p>\n\n\n\n<p>Au-del\u00e0 du volet S\u00e9curit\u00e9, ISO 27001:2022 ne couvre <strong>rien<\/strong> des volets Interop\u00e9rabilit\u00e9 (56 crit\u00e8res), Performance (7), Technologie (9) et G\u00e9n\u00e9ral (3) \u2014 soit 75 crit\u00e8res sectoriels qu\u00e9b\u00e9cois sans \u00e9quivalent international.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">7.5 ISO 27001:2022 + ISO 27701<\/h3>\n\n\n\n<p><strong>ISO\/IEC 27701<\/strong> est l&rsquo;extension PIMS (Privacy Information Management System) d&rsquo;ISO 27001. Sa structure suit la logique du <strong>GDPR<\/strong> (cf. son Annexe D).<\/p>\n\n\n\n<p>Le volet <strong>PRPS de la TGV<\/strong> suit la structure de l&rsquo;<strong>ISO\/IEC 29100<\/strong> (11 principes). Bien que GDPR et ISO 29100 partagent une base philosophique commune (transparence, minimisation, consentement, finalit\u00e9), leur structure diff\u00e8re substantiellement :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Le \u00ab <em>Data Protection Officer<\/em> \u00bb du GDPR n&rsquo;a pas l&rsquo;\u00e9quivalent strict du \u00ab Responsable PRP \u00bb sectoriel qu\u00e9b\u00e9cois;<\/li>\n\n\n\n<li>Les bases l\u00e9gales du GDPR (Art. 6) ne se retrouvent pas dans la TGV qui parle de \u00ab finalit\u00e9 autoris\u00e9e \u00bb (P02);<\/li>\n\n\n\n<li>L&rsquo;<strong>interdiction de l&rsquo;usage secondaire m\u00eame anonymis\u00e9<\/strong> (P02.10 TGV) n&rsquo;a pas d&rsquo;\u00e9quivalent dans ISO 27701.<\/li>\n<\/ul>\n\n\n\n<p>Pour un fournisseur certifi\u00e9 <strong>ISO 27001:2022 + ISO 27701<\/strong>, la couverture qualitative est substantielle : l&rsquo;essentiel du volet S\u00e9curit\u00e9 (cf. cartographie ci-dessus) plus une part significative du volet PRPS. Cette couverture suppose n\u00e9anmoins un <strong>re-mappage substantiel<\/strong> entre la structure GDPR\/27701 et la structure 29100\/PRPS, et certains crit\u00e8res TGV singuliers (P02.10, P03.08 sur le DSQ, P08.07 sur l&rsquo;h\u00e9bergement au Qu\u00e9bec) restent \u00e0 couvrir ind\u00e9pendamment.<\/p>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">8. Tableau comparatif synth\u00e9tique<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Crit\u00e8re<\/th><th>TGV<\/th><th>Loi 25<\/th><th>Loi 5 (LRSSS)<\/th><th>HIPAA<\/th><th>SOC 2<\/th><th>ISO 27001:2022<\/th><\/tr><\/thead><tbody><tr><td><strong>Type<\/strong><\/td><td>Certification sectorielle obligatoire<\/td><td>Loi g\u00e9n\u00e9rale<\/td><td>Loi sectorielle sant\u00e9<\/td><td>R\u00e8glement f\u00e9d\u00e9ral<\/td><td>Attestation commerciale<\/td><td>Certification volontaire<\/td><\/tr><tr><td><strong>\u00c9metteur<\/strong><\/td><td>MSSS \u2013 Bureau de certification (Qu\u00e9bec)<\/td><td>Assembl\u00e9e nationale du QC<\/td><td>Assembl\u00e9e nationale du QC<\/td><td>HHS-OCR (\u00c9.-U.)<\/td><td>AICPA (\u00c9.-U.)<\/td><td>ISO\/IEC (international)<\/td><\/tr><tr><td><strong>Caract\u00e8re<\/strong><\/td><td>Obligatoire<\/td><td>Obligatoire<\/td><td>Obligatoire (organismes de sant\u00e9)<\/td><td>Obligatoire (sant\u00e9 \u00c9.-U.)<\/td><td>Volontaire<\/td><td>Volontaire<\/td><\/tr><tr><td><strong>Approche<\/strong><\/td><td>Prescriptive<\/td><td>L\u00e9gale\/prescriptive<\/td><td>L\u00e9gale\/prescriptive sectorielle<\/td><td>Technologiquement neutre<\/td><td>Crit\u00e8res flexibles<\/td><td>Bas\u00e9e sur le risque<\/td><\/tr><tr><td><strong>Nb crit\u00e8res<\/strong><\/td><td><strong>254<\/strong><\/td><td>s.o.<\/td><td>s.o.<\/td><td>3 cat\u00e9gories de safeguards<\/td><td>61<\/td><td>93 (+ clauses 4-10)<\/td><\/tr><tr><td><strong>Volet S\u00e9curit\u00e9 technique<\/strong><\/td><td>D\u00e9taill\u00e9e (104 crit\u00e8res)<\/td><td>Mention g\u00e9n\u00e9rale<\/td><td>R\u00e9f\u00e9rence aux mesures de s\u00e9curit\u00e9<\/td><td>Adm.\/Phys.\/Tech.<\/td><td>CC1-CC9<\/td><td>Annexe A (4 th\u00e8mes)<\/td><\/tr><tr><td><strong>PRP \/ vie priv\u00e9e<\/strong><\/td><td>75 crit\u00e8res PRPS (11 principes)<\/td><td>Coeur de la loi<\/td><td>Cadre exclusif RSSS<\/td><td>Privacy Rule (s\u00e9par\u00e9e)<\/td><td>Cat\u00e9gorie P optionnelle<\/td><td>Partiel; ISO 27701<\/td><\/tr><tr><td><strong>Performance<\/strong><\/td><td>\u2705 7 crit\u00e8res<\/td><td>\u274c<\/td><td>\u274c<\/td><td>\u274c<\/td><td>\u26a0\ufe0f Disponibilit\u00e9 optionnelle<\/td><td>\u274c<\/td><\/tr><tr><td><strong>Interop\u00e9rabilit\u00e9 sectorielle<\/strong><\/td><td>\u2705 56 crit\u00e8res (DSQ, FHIR, NAM\/NIU)<\/td><td>\u274c<\/td><td>\u26a0\ufe0f Cadre DSN<\/td><td>\u274c<\/td><td>\u274c<\/td><td>\u274c<\/td><\/tr><tr><td><strong>H\u00e9bergement local<\/strong><\/td><td>\u2705 P08.07 (Qu\u00e9bec ou \u00e9quivalent)<\/td><td>\u26a0\ufe0f EFVP hors QC<\/td><td>\u26a0\ufe0f Encadr\u00e9<\/td><td>\u274c<\/td><td>\u274c<\/td><td>\u274c<\/td><\/tr><tr><td><strong>Test d&rsquo;intrusion<\/strong><\/td><td>\u2705 Obligatoire (S16.02)<\/td><td>\u274c<\/td><td>\u274c<\/td><td>\u26a0\ufe0f Recommand\u00e9<\/td><td>\u26a0\ufe0f Recommand\u00e9<\/td><td>\u26a0\ufe0f A.8.29 (Security testing) lorsque impl\u00e9ment\u00e9<\/td><\/tr><tr><td><strong>SMSI \/ syst\u00e8me de management<\/strong><\/td><td>\u274c V\u00e9rifie l&rsquo;\u00e9tat du PST<\/td><td>s.o.<\/td><td>s.o.<\/td><td>\u274c<\/td><td>\u26a0\ufe0f Type 2 \u2248 syst\u00e8me op\u00e9rant<\/td><td>\u2705 Clauses 4-10<\/td><\/tr><tr><td><strong>Validit\u00e9 du certificat<\/strong><\/td><td>5 ans + autod\u00e9claration annuelle \u00e9valu\u00e9e par le Bureau<\/td><td>s.o.<\/td><td>s.o.<\/td><td>Conformit\u00e9 continue<\/td><td>12 mois<\/td><td>3 ans + audits annuels<\/td><\/tr><tr><td><strong>Sanctions<\/strong><\/td><td>Non-acc\u00e8s au march\u00e9 SSSS<\/td><td>Jusqu&rsquo;\u00e0 25 M$ ou 4 % CA<\/td><td>Sanctions CAI<\/td><td>Amendes OCR variables<\/td><td>Perte de clients<\/td><td>Perte de certification<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">9. Architecture de confiance et cha\u00eene d&rsquo;accr\u00e9ditation<\/h2>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>En bref :<\/strong> Les trois r\u00e9f\u00e9rentiels compar\u00e9s reposent sur des architectures de confiance diff\u00e9rentes. ISO 27001:2022 utilise une cha\u00eene IAF \u2192 organismes d&rsquo;accr\u00e9ditation nationaux (SCC, ANAB, UKAS) \u2192 Certification Bodies, encadr\u00e9e par ISO\/IEC 27006:2015 et ISO\/IEC 17021-1. SOC 2 repose sur des CPA licenci\u00e9s par les State Boards of Accountancy am\u00e9ricains, sous normes SSAE 18. La TGV repose sur une liste maintenue par le Bureau de certification du MSSS, sans cadre normatif \u00e9quivalent et sans liste publique des firmes v\u00e9rificatrices reconnues.<\/p>\n<\/blockquote>\n\n\n\n<p>Tous les r\u00e9f\u00e9rentiels compar\u00e9s ne reposent pas sur la m\u00eame <strong>architecture de confiance<\/strong>. Cette diff\u00e9rence est rarement abord\u00e9e mais elle change la port\u00e9e et la reconnaissance internationale d&rsquo;un certificat.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">9.1 ISO 27001:2022 \u2014 cha\u00eene \u00e0 trois niveaux<\/h3>\n\n\n\n<p>ISO 27001:2022 repose sur :<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>L&rsquo;IAF (International Accreditation Forum)<\/strong> qui maintient des accords multilat\u00e9raux de reconnaissance (<strong>IAF MLA<\/strong>) entre organismes d&rsquo;accr\u00e9ditation nationaux.<\/li>\n\n\n\n<li><strong>Les organismes d&rsquo;accr\u00e9ditation nationaux<\/strong> (SCC au Canada, ANAB aux \u00c9tats-Unis, UKAS au Royaume-Uni, BSI accreditation services, etc.) qui accr\u00e9ditent les <strong>Certification Bodies (CB)<\/strong> selon <strong>ISO\/IEC 27006:2015<\/strong> (exigences pour les organismes d&rsquo;audit et de certification de SMSI).<\/li>\n\n\n\n<li><strong>Les Certification Bodies<\/strong> qui d\u00e9livrent les certificats aux organisations.<\/li>\n<\/ol>\n\n\n\n<p><strong>M\u00e9canique de l&rsquo;audit ISO 27001:2022 (selon ISO\/IEC 17021-1).<\/strong> La certification initiale comporte deux \u00e9tapes :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Stage 1 (revue documentaire)<\/strong> : le CB \u00e9value la documentation du SMSI (politique, p\u00e9rim\u00e8tre, analyse de risques, SoA), valide le p\u00e9rim\u00e8tre d\u00e9clar\u00e9 et confirme la maturit\u00e9 organisationnelle pour l&rsquo;audit Stage 2.<\/li>\n\n\n\n<li><strong>Stage 2 (revue op\u00e9rationnelle)<\/strong> : le CB \u00e9value la mise en \u0153uvre effective des contr\u00f4les, observe les processus en action, examine les preuves d&rsquo;efficacit\u00e9.<\/li>\n<\/ul>\n\n\n\n<p>Une fois certifi\u00e9e, l&rsquo;organisation est soumise \u00e0 <strong>deux audits de surveillance annuels<\/strong> (couvrant typiquement environ un tiers du SMSI par ann\u00e9e selon la programmation du CB), puis \u00e0 un <strong>audit de re-certification complet<\/strong> au terme du cycle de trois ans. Cette m\u00e9canique diff\u00e8re structurellement de la TGV, o\u00f9 la v\u00e9rification initiale par firme reconnue se fait en 30 jours ouvrables et o\u00f9 le suivi prend la forme d&rsquo;autod\u00e9clarations annuelles \u00e9valu\u00e9es par le Bureau de certification.<\/p>\n\n\n\n<p>Un certificat ISO 27001:2022 d\u00e9livr\u00e9 par un CB accr\u00e9dit\u00e9 par un organisme <strong>signataire des accords IAF MLA<\/strong> b\u00e9n\u00e9ficie d&rsquo;une reconnaissance internationale large. Tous les organismes d&rsquo;accr\u00e9ditation nationaux ne sont cependant pas signataires des MLA pour tous les sch\u00e9mes; et certains donneurs d&rsquo;ordre commerciaux (notamment grands groupes financiers ou de la sant\u00e9 aux \u00c9tats-Unis) peuvent demander des audits compl\u00e9mentaires par un CB de leur choix ind\u00e9pendamment de l&rsquo;accr\u00e9ditation d\u00e9tenue.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">9.2 SOC 2 \u2014 CPA et SSAE 18<\/h3>\n\n\n\n<p>SOC 2 repose sur des <strong>Certified Public Accountants (CPA)<\/strong> licenci\u00e9s par les <strong>State Boards of Accountancy<\/strong> am\u00e9ricains (55 jurisdictions reconnues par le NASBA \u2014 50 \u00c9tats plus le District of Columbia et 4 territoires), conduisant leurs missions sous les normes <strong>SSAE 18<\/strong> (notamment AT-C sections 105 et 205) publi\u00e9es par l&rsquo;AICPA. Le contr\u00f4le qualit\u00e9 est assur\u00e9 par le <strong>AICPA Peer Review Program<\/strong> pour la majorit\u00e9 des firmes (le PCAOB ne supervise que les audits d&rsquo;entit\u00e9s SEC inscrites, ce qui couvre rarement les missions SOC 2). La reconnaissance des attestations SOC 2 par le march\u00e9 est aujourd&rsquo;hui globale, mais il n&rsquo;existe pas de m\u00e9canisme institutionnel \u00e9quivalent aux accords IAF MLA d&rsquo;ISO 27001:2022.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">9.3 TGV \u2014 liste BCH<\/h3>\n\n\n\n<p>La TGV repose sur une <strong>liste maintenue par le BCH<\/strong> des firmes v\u00e9rificatrices reconnues. Cette liste n&rsquo;est pas publique. Il n&rsquo;existe pas, \u00e0 notre connaissance, de cadre normatif \u00e9quivalent \u00e0 ISO 27006 pour les firmes v\u00e9rificatrices TGV. La reconnaissance se fait au cas par cas.<\/p>\n\n\n\n<p>Un certificat TGV est reconnu <strong>dans le contexte du SSSS qu\u00e9b\u00e9cois<\/strong> uniquement, et d\u00e9pend de la confiance institutionnelle dans le BCH et dans la firme v\u00e9rificatrice mandat\u00e9e. Pour un fournisseur dont les acqu\u00e9reurs sont uniquement qu\u00e9b\u00e9cois en sant\u00e9, c&rsquo;est suffisant. Pour un fournisseur op\u00e9rant aussi \u00e0 l&rsquo;international, il faut combiner.<\/p>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">10. Comment se pr\u00e9parer \u00e0 la certification TGV \u00e0 partir de r\u00e9f\u00e9rentiels existants?<\/h2>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>En bref :<\/strong> Aucun r\u00e9f\u00e9rentiel international (Loi 25, HIPAA, SOC 2, ISO 27001:2022) ne dispense d&rsquo;une pr\u00e9paration TGV sp\u00e9cifique. ISO 27001:2022 est l&rsquo;investissement ant\u00e9c\u00e9dent le plus efficace pour le volet S\u00e9curit\u00e9; ISO 27701 ajoute une couverture significative du volet PRPS. Les volets Interop\u00e9rabilit\u00e9 (56 crit\u00e8res), Performance (7), Technologie (9) et G\u00e9n\u00e9ral (3) \u2014 soit 75 crit\u00e8res \u2014 n&rsquo;ont aucun \u00e9quivalent international et constituent le travail le plus lourd pour un fournisseur SaaS \u00e9tranger arrivant au Qu\u00e9bec.<\/p>\n<\/blockquote>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">10.1 Trois constats strat\u00e9giques<\/h3>\n\n\n\n<p><strong>1. Aucun r\u00e9f\u00e9rentiel international ne dispense d&rsquo;une pr\u00e9paration TGV sp\u00e9cifique.<\/strong><br>M\u00eame un fournisseur certifi\u00e9 SOC 2, ISO 27001:2022 + 27701 et conforme \u00e0 HIPAA aura, au mieux, environ la moiti\u00e9 des crit\u00e8res TGV d\u00e9j\u00e0 couverts. Les volets Performance, Technologie, Interop\u00e9rabilit\u00e9 et G\u00e9n\u00e9ral repr\u00e9sentent 75 crit\u00e8res sans \u00e9quivalent direct.<\/p>\n\n\n\n<p><strong>2. La Loi 25 est un sous-ensemble du volet PRPS \u2014 pas davantage.<\/strong><br>Une organisation conforme Loi 25 a une base solide pour le volet P de la TGV, mais devra y ajouter les exigences sectorielles sant\u00e9.<\/p>\n\n\n\n<p><strong>3. ISO 27001:2022 est l&rsquo;investissement \u00ab ant\u00e9c\u00e9dent \u00bb le plus efficace pour le volet S\u00e9curit\u00e9.<\/strong><br>Un SMSI ISO 27001:2022 mature couvre une part substantielle du volet S\u00e9curit\u00e9 TGV. Avec ISO 27701 en compl\u00e9ment, on monte sur le volet PRPS sans pour autant l&rsquo;\u00e9puiser.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">10.2 Combinaison optimale Qu\u00e9bec + international<\/h3>\n\n\n\n<p>Pour les fournisseurs ciblant simultan\u00e9ment les march\u00e9s qu\u00e9b\u00e9cois et internationaux :<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>TGV + HIPAA + SOC 2 Type 2<\/strong> (cat\u00e9gories S\u00e9curit\u00e9, Confidentialit\u00e9, Disponibilit\u00e9) <strong>+ ISO 27001:2022<\/strong> (id\u00e9alement)<\/p>\n<\/blockquote>\n\n\n\n<p>Cette combinaison couvre les exigences r\u00e9glementaires du Qu\u00e9bec, du f\u00e9d\u00e9ral am\u00e9ricain et les attentes commerciales des grands clients SaaS, avec des recouvrements internes qui r\u00e9duisent l&rsquo;effort total.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">10.3 R\u00e9utiliser sa SoA ISO 27001:2022 pour la TGV<\/h3>\n\n\n\n<p>C&rsquo;est le levier le plus actionnable pour un fournisseur certifi\u00e9 ISO 27001:2022. La <strong>Statement of Applicability (SoA)<\/strong> liste les 93 contr\u00f4les Annexe A avec leur statut d&rsquo;applicabilit\u00e9, leur justification et leurs preuves de mise en \u0153uvre. Elle se transforme en <strong>cartographie de couverture TGV<\/strong> par un travail de re-formatage : pour chaque contr\u00f4le Annexe A applicable et impl\u00e9ment\u00e9, identifier le ou les crit\u00e8res TGV correspondants, et utiliser les m\u00eames preuves.<\/p>\n\n\n\n<p>L&rsquo;op\u00e9ration principale est documentaire (pas technique) : la SoA produit une vue par contr\u00f4le ISO; le BCH attend une vue par crit\u00e8re TGV. Voir le tableau de cartographie d\u00e9taill\u00e9 dans notre <a href=\"\/blog\/volet-securite-tgv-s01-s16-criteres#5-cartographie-iso-270012022\">article d\u00e9di\u00e9 au volet S\u00e9curit\u00e9<\/a>.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">10.4 Le pi\u00e8ge des volets oubli\u00e9s<\/h3>\n\n\n\n<p>L&rsquo;erreur la plus fr\u00e9quente chez les fournisseurs internationaux qui arrivent au Qu\u00e9bec est de <strong>traiter la TGV comme un ISO 27001 qu\u00e9b\u00e9cois<\/strong>. C&rsquo;est un cadrage qui m\u00e8ne \u00e0 sous-estimer le projet. Les volets Interop\u00e9rabilit\u00e9 (56 crit\u00e8res, 22 % du r\u00e9f\u00e9rentiel), Performance (7) et Technologie (9) requi\u00e8rent des comp\u00e9tences applicatives et architecturales qui sortent du p\u00e9rim\u00e8tre habituel d&rsquo;un RSSI.<\/p>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">11. Glossaire<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>BCH<\/strong> \u2014 Bureau de certification et d&rsquo;homologation (ancien nom du Bureau de certification du MSSS).<\/li>\n\n\n\n<li><strong>BCM<\/strong> \u2014 <em>Business Continuity Management<\/em>.<\/li>\n\n\n\n<li><strong>BIA<\/strong> \u2014 <em>Business Impact Analysis<\/em>.<\/li>\n\n\n\n<li><strong>CAI<\/strong> \u2014 Commission d&rsquo;acc\u00e8s \u00e0 l&rsquo;information du Qu\u00e9bec.<\/li>\n\n\n\n<li><strong>CB<\/strong> \u2014 <em>Certification Body<\/em> (organisme de certification ISO 27001:2022).<\/li>\n\n\n\n<li><strong>DIC<\/strong> \u2014 Disponibilit\u00e9, Int\u00e9grit\u00e9, Confidentialit\u00e9 (classification de l&rsquo;information).<\/li>\n\n\n\n<li><strong>DPO<\/strong> \u2014 <em>Data Protection Officer<\/em> (r\u00f4le GDPR; \u00e0 comparer au Responsable PRP du Qu\u00e9bec).<\/li>\n\n\n\n<li><strong>DSN<\/strong> \u2014 Dossier sant\u00e9 num\u00e9rique (cadre pr\u00e9vu par la Loi 5).<\/li>\n\n\n\n<li><strong>DSQ<\/strong> \u2014 Dossier sant\u00e9 Qu\u00e9bec.<\/li>\n\n\n\n<li><strong>EBIOS RM<\/strong> \u2014 <em>Expression des Besoins et Identification des Objectifs de S\u00e9curit\u00e9 \u2014 Risk Manager<\/em> (m\u00e9thode d&rsquo;analyse de risques publi\u00e9e par l&rsquo;ANSSI).<\/li>\n\n\n\n<li><strong>EDR<\/strong> \u2014 <em>Endpoint Detection and Response<\/em>.<\/li>\n\n\n\n<li><strong>EFVP<\/strong> \u2014 \u00c9valuation des facteurs relatifs \u00e0 la vie priv\u00e9e.<\/li>\n\n\n\n<li><strong>ePHI<\/strong> \u2014 <em>Electronic Protected Health Information<\/em> (HIPAA).<\/li>\n\n\n\n<li><strong>GIU<\/strong> \u2014 Gestion de l&rsquo;identification des usagers (services communs provinciaux).<\/li>\n\n\n\n<li><strong>HIPAA<\/strong> \u2014 <em>Health Insurance Portability and Accountability Act<\/em> (\u00c9tats-Unis).<\/li>\n\n\n\n<li><strong>IAF<\/strong> \u2014 <em>International Accreditation Forum<\/em>.<\/li>\n\n\n\n<li><strong>IPM\u00c9<\/strong> \u2014 Identifiant patient ma\u00eetre d&rsquo;\u00e9tablissement.<\/li>\n\n\n\n<li><strong>Loi 5<\/strong> \u2014 <em>Loi sur les renseignements de sant\u00e9 et de services sociaux<\/em> (LRSSS), entr\u00e9e en vigueur le 1er juillet 2024.<\/li>\n\n\n\n<li><strong>LRSSS<\/strong> \u2014 voir Loi 5.<\/li>\n\n\n\n<li><strong>LSSSS<\/strong> \u2014 Loi sur les services de sant\u00e9 et les services sociaux (Qu\u00e9bec).<\/li>\n\n\n\n<li><strong>MLA<\/strong> \u2014 <em>Multilateral Recognition Arrangement<\/em> (accords IAF d&rsquo;accr\u00e9ditation).<\/li>\n\n\n\n<li><strong>MSSS<\/strong> \u2014 Minist\u00e8re de la Sant\u00e9 et des Services sociaux du Qu\u00e9bec.<\/li>\n\n\n\n<li><strong>NAM<\/strong> \u2014 Num\u00e9ro d&rsquo;assurance maladie (RAMQ).<\/li>\n\n\n\n<li><strong>NIU<\/strong> \u2014 Num\u00e9ro d&rsquo;identification unique (provincial).<\/li>\n\n\n\n<li><strong>OCR<\/strong> \u2014 <em>Office for Civil Rights<\/em> du HHS am\u00e9ricain (organisme d&rsquo;application HIPAA).<\/li>\n\n\n\n<li><strong>PIMS<\/strong> \u2014 <em>Privacy Information Management System<\/em> (ISO 27701).<\/li>\n\n\n\n<li><strong>PRI<\/strong> \u2014 Plan de r\u00e9ponse aux incidents.<\/li>\n\n\n\n<li><strong>PRP \/ PRPS<\/strong> \u2014 Protection des renseignements personnels \/ et de sant\u00e9.<\/li>\n\n\n\n<li><strong>PST<\/strong> \u2014 Produit ou service technologique.<\/li>\n\n\n\n<li><strong>RITM<\/strong> \u2014 R\u00e9seau int\u00e9gr\u00e9 de t\u00e9l\u00e9communication multim\u00e9dia (r\u00e9seau provincial du SSSS).<\/li>\n\n\n\n<li><strong>RSSS<\/strong> \u2014 Renseignements de sant\u00e9 et de services sociaux.<\/li>\n\n\n\n<li><strong>SaaS<\/strong> \u2014 <em>Software as a Service<\/em>.<\/li>\n\n\n\n<li><strong>SMSI<\/strong> \u2014 Syst\u00e8me de management de la s\u00e9curit\u00e9 de l&rsquo;information (ISO 27001:2022).<\/li>\n\n\n\n<li><strong>SoA<\/strong> \u2014 <em>Statement of Applicability<\/em> (ISO 27001:2022, document central).<\/li>\n\n\n\n<li><strong>SSAE 18<\/strong> \u2014 <em>Statement on Standards for Attestation Engagements 18<\/em> (norme AICPA encadrant les missions d&rsquo;attestation, dont SOC 2).<\/li>\n\n\n\n<li><strong>SSSS<\/strong> \u2014 Sant\u00e9 et services sociaux (le r\u00e9seau qu\u00e9b\u00e9cois).<\/li>\n\n\n\n<li><strong>TGV<\/strong> \u2014 Trousse globale de v\u00e9rification (MSSS Qu\u00e9bec).<\/li>\n<\/ul>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">12. FAQ<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Combien de crit\u00e8res y a-t-il dans la TGV?<\/h3>\n\n\n\n<p>Le r\u00e9f\u00e9rentiel officiel TGV publi\u00e9 par le MSSS contient <strong>254 crit\u00e8res<\/strong> r\u00e9partis en 6 volets : S\u00e9curit\u00e9 (104), PRPS (75), Interop\u00e9rabilit\u00e9 (56), Technologie (9), Performance (7) et G\u00e9n\u00e9ral (3).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Combien de temps est valide une certification TGV?<\/h3>\n\n\n\n<p>Le certificat TGV est <strong>valide 5 ans<\/strong>, avec <strong>renouvellement annuel par autod\u00e9claration<\/strong> du fournisseur <strong>\u00e9valu\u00e9e par le Bureau de certification<\/strong>. La certification reste valide tant qu&rsquo;aucun changement majeur n&rsquo;est apport\u00e9 \u00e0 l&rsquo;application ou aux syst\u00e8mes informationnels du secteur de la sant\u00e9 et des services sociaux.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">La certification TGV est-elle obligatoire?<\/h3>\n\n\n\n<p>Oui pour tout PST qui collecte ou traite des RSSS, qui s&rsquo;arrime aux actifs informationnels du SSSS, ou qui est d\u00e9ploy\u00e9 dans plus d&rsquo;un \u00e9tablissement de sant\u00e9 du Qu\u00e9bec.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">La conformit\u00e9 \u00e0 la Loi 25 dispense-t-elle de la TGV?<\/h3>\n\n\n\n<p>Non. La Loi 25 couvre uniquement la PRP. Le volet PRPS de la TGV inclut la Loi 25 et y ajoute les exigences sectorielles sant\u00e9.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Une certification ISO 27001:2022 facilite-t-elle l&rsquo;obtention de la TGV?<\/h3>\n\n\n\n<p>Oui, substantiellement, sur le volet S\u00e9curit\u00e9 \u2014 qui repr\u00e9sente 104 des 254 crit\u00e8res. Un SMSI ISO 27001:2022 mature couvre la majorit\u00e9 de ce volet et fournit la SoA comme outil de cartographie. L&rsquo;effort r\u00e9siduel se concentre sur les exigences sectorielles sant\u00e9 (cartographie RSSS, exigences DSQ, h\u00e9bergement au Qu\u00e9bec) et sur les volets non couverts par ISO (Interop\u00e9rabilit\u00e9, Performance, Technologie, G\u00e9n\u00e9ral \u2014 75 crit\u00e8res).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Pourquoi le volet Interop\u00e9rabilit\u00e9 est-il si important?<\/h3>\n\n\n\n<p>Parce que ses 56 crit\u00e8res (22 % du r\u00e9f\u00e9rentiel) couvrent l&rsquo;arrimage avec les actifs informationnels qu\u00e9b\u00e9cois : identification des usagers via NAM\/NIU\/GIU, support FHIR, s\u00e9paration logique entre dispensateurs (T05). Ces exigences sont absentes des cadres internationaux et repr\u00e9sentent souvent le travail le plus lourd pour un fournisseur SaaS \u00e9tranger qui arrive au Qu\u00e9bec.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Le test d&rsquo;intrusion est-il obligatoire pour la TGV?<\/h3>\n\n\n\n<p>Oui. Le crit\u00e8re S16.02 exige un test d&rsquo;intrusion par un prestataire ind\u00e9pendant et reconnu par le MSSS. Les modalit\u00e9s sont pr\u00e9cis\u00e9es dans le document <em>Orientation sur les tests d&rsquo;intrusion<\/em> du BCH.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Une certification ISO 27001:2022 est-elle \u00e9quivalente \u00e0 une TGV?<\/h3>\n\n\n\n<p>Non. ISO 27001:2022 atteste un <strong>syst\u00e8me de management<\/strong> (le SMSI). La TGV atteste un <strong>\u00e9tat du PST<\/strong> \u00e0 un moment donn\u00e9. Les deux objets sont compl\u00e9mentaires mais pas substituables.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Quelle est la version actuelle du r\u00e9f\u00e9rentiel TGV?<\/h3>\n\n\n\n<p>La version officielle cit\u00e9e dans cet article est <code>liste-criteres-TGV_v2024-06-18.xls<\/code> (dat\u00e9e du 18 juin 2024). Le MSSS publie p\u00e9riodiquement de nouvelles versions, sans calendrier fixe. V\u00e9rifier la page Orientations du BCH pour la version la plus r\u00e9cente.<\/p>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">13. Sources et m\u00e9thodologie<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">13.1 Sources officielles<\/h3>\n\n\n\n<p><strong>Documents MSSS \/ TGV :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Fichier officiel des crit\u00e8res : <code>liste-criteres-TGV_v2024-06-18.xls<\/code> \u2014 accessible via la page <a href=\"https:\/\/msss.gouv.qc.ca\/professionnels\/technologies-information\/certification-produits-et-services-technologiques\/orientations-procedures-documents-utiles-certification\/\" rel=\"nofollow noopener\" target=\"_blank\">Orientations, proc\u00e9dures et documents utiles<\/a> du Bureau de certification.<\/li>\n\n\n\n<li>Page principale du Bureau de certification : <a href=\"https:\/\/msss.gouv.qc.ca\/professionnels\/certification-produits-et-services-technologiques\/\" rel=\"nofollow noopener\" target=\"_blank\">msss.gouv.qc.ca\/professionnels\/certification-produits-et-services-technologiques<\/a> (dur\u00e9e de validit\u00e9, processus, contact).<\/li>\n\n\n\n<li><em>Certification \u2013 Trousse globale de v\u00e9rification (TGV)<\/em>, MSSS, juin 2024 \u2014 <a href=\"https:\/\/publications.msss.gouv.qc.ca\/msss\/document-003757\/\" rel=\"nofollow noopener\" target=\"_blank\">publications.msss.gouv.qc.ca\/msss\/document-003757<\/a><\/li>\n\n\n\n<li><em>Liste des PST certifi\u00e9s actifs<\/em>, MSSS \u2014 <a href=\"http:\/\/ti.msss.gouv.qc.ca\/Familles-de-services\/Bureau-de-certification-et-d-homologation\/Liste-des-produits-et-services-certifies-et-homolo.aspx\" rel=\"nofollow noopener\" target=\"_blank\">ti.msss.gouv.qc.ca<\/a>.<\/li>\n\n\n\n<li><em>Orientation sur les tests d&rsquo;intrusion<\/em>, Bureau de certification du MSSS \u2014 <a href=\"https:\/\/msss.gouv.qc.ca\/professionnels\/documents\/technologies-information\/certification-produits-services\/orientation-tests-intrusion.pdf\" rel=\"nofollow noopener\" target=\"_blank\">orientation-tests-intrusion.pdf<\/a>.<\/li>\n\n\n\n<li><em>Cadre de gestion de la certification et de l&rsquo;homologation<\/em>, directive minist\u00e9rielle \u2014 accessible via le syst\u00e8me G26 du MSSS.<\/li>\n<\/ul>\n\n\n\n<p><strong>Loi 25 :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Commission d&rsquo;acc\u00e8s \u00e0 l&rsquo;information du Qu\u00e9bec \u2014 <a href=\"https:\/\/www.cai.gouv.qc.ca\/\" rel=\"nofollow noopener\" target=\"_blank\">cai.gouv.qc.ca<\/a>.<\/li>\n<\/ul>\n\n\n\n<p><strong>Loi 5 (Loi sur les renseignements de sant\u00e9 et de services sociaux, LRSSS) :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Annonce d&rsquo;entr\u00e9e en vigueur du 1er juillet 2024 \u2014 <a href=\"https:\/\/www.quebec.ca\/nouvelles\/actualites\/details\/entree-en-vigueur-loi-renseignements-sante-services-sociaux-57074\" rel=\"nofollow noopener\" target=\"_blank\">quebec.ca\/nouvelles\/actualites<\/a>.<\/li>\n\n\n\n<li>CAI \u2014 page d&rsquo;entr\u00e9e en vigueur de la LRSSS.<\/li>\n<\/ul>\n\n\n\n<p><strong>HIPAA :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>HHS.gov, <em>Summary of the HIPAA Security Rule<\/em>.<\/li>\n\n\n\n<li>Federal Register, NPRM du 6 janvier 2025.<\/li>\n<\/ul>\n\n\n\n<p><strong>SOC 2 :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>AICPA, <em>2017 Trust Services Criteria (with Revised Points of Focus \u2013 2022)<\/em>.<\/li>\n\n\n\n<li>AICPA, normes SSAE 18 (AT-C sections 105 et 205).<\/li>\n<\/ul>\n\n\n\n<p><strong>ISO 27001:2022 :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>ISO\/IEC 27001:2022 \u2014 <a href=\"https:\/\/www.iso.org\/standard\/27001\" rel=\"nofollow noopener\" target=\"_blank\">iso.org\/standard\/27001<\/a>.<\/li>\n\n\n\n<li>ISO\/IEC 17021-1:2015 (exigences pour les organismes proc\u00e9dant \u00e0 l&rsquo;audit et \u00e0 la certification de syst\u00e8mes de management \u2014 r\u00e9f\u00e9rence pour la m\u00e9canique Stage 1 \/ Stage 2).<\/li>\n\n\n\n<li>ISO\/IEC 27006:2015 (exigences pour organismes d&rsquo;audit et de certification de SMSI).<\/li>\n\n\n\n<li>ISO\/IEC 27007:2020 (lignes directrices pour l&rsquo;audit du SMSI).<\/li>\n\n\n\n<li>ISO\/IEC 27008:2019 (lignes directrices pour l&rsquo;audit des contr\u00f4les de l&rsquo;Annexe A).<\/li>\n\n\n\n<li>IAF Resolution 2021-22 sur la fin de la transition 2013 \u2192 2022 (\u00e9ch\u00e9ance 31 octobre 2025).<\/li>\n\n\n\n<li>Accords IAF MLA (<em>Multilateral Recognition Arrangements<\/em>) \u2014 <a href=\"https:\/\/www.iaf.nu\/\" rel=\"nofollow noopener\" target=\"_blank\">iaf.nu<\/a>.<\/li>\n<\/ul>\n\n\n\n<p><strong>R\u00e9f\u00e9rentiels techniques cit\u00e9s :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>NIST FIPS 140-3 (validation des modules cryptographiques, en remplacement de FIPS 140-2 depuis 2019).<\/li>\n\n\n\n<li>NIST SP 800-52 Rev. 2 (TLS).<\/li>\n\n\n\n<li>NIST SP 800-63B (authentification, dont SMS-OTP d\u00e9pr\u00e9ci\u00e9).<\/li>\n\n\n\n<li>NIST SP 800-40 Rev. 4 (gestion des correctifs).<\/li>\n\n\n\n<li>NIST SP 800-115 (security testing technique).<\/li>\n<\/ul>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">13.2 M\u00e9thodologie<\/h3>\n\n\n\n<p>Cet article a \u00e9t\u00e9 r\u00e9dig\u00e9 sur la base :<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>D&rsquo;une analyse directe du fichier Excel officiel<\/strong> des crit\u00e8res TGV. Le d\u00e9compte pr\u00e9sent\u00e9 (254 crit\u00e8res au total, 104 au volet S\u00e9curit\u00e9, 75 au volet PRPS, 56 \u00e0 l&rsquo;Interop\u00e9rabilit\u00e9, 9 \u00e0 la Technologie, 7 \u00e0 la Performance, 3 au G\u00e9n\u00e9ral) refl\u00e8te l&rsquo;extraction programmatique du contenu de ce fichier.<\/li>\n\n\n\n<li><strong>D&rsquo;une v\u00e9rification des sources officielles<\/strong> pour chacun des cadres compar\u00e9s.<\/li>\n\n\n\n<li><strong>De l&rsquo;exp\u00e9rience terrain<\/strong> de Services conseils Factero dans l&rsquo;accompagnement \u00e0 des certifications de conformit\u00e9 au Canada.<\/li>\n<\/ol>\n\n\n\n<p><strong>Limites des estimations de pourcentages.<\/strong> Les pourcentages de recouvrement entre r\u00e9f\u00e9rentiels mesurent la <strong>r\u00e9utilisabilit\u00e9 documentaire et de preuves<\/strong> (capacit\u00e9 \u00e0 transf\u00e9rer des artefacts produits pour un r\u00e9f\u00e9rentiel vers un autre moyennant re-formatage). Ce ne sont <strong>pas<\/strong> des \u00e9quivalences conceptuelles entre les r\u00e9f\u00e9rentiels \u2014 qui attestent d&rsquo;objets diff\u00e9rents (syst\u00e8me de management vs \u00e9tat de produit). Ces pourcentages reposent sur l&rsquo;analyse des correspondances normatives haut niveau, pas sur une mesure formelle crit\u00e8re par crit\u00e8re. Pour la cartographie d\u00e9taill\u00e9e TGV \u2194 ISO 27001:2022 (par sous-domaine), consultez l&rsquo;article d\u00e9di\u00e9 au <a href=\"\/blog\/volet-securite-tgv-s01-s16-criteres\">volet S\u00e9curit\u00e9 TGV<\/a>.<\/p>\n\n\n\n<p><strong>Anomalie d\u00e9tect\u00e9e dans le fichier officiel.<\/strong> Le crit\u00e8re cod\u00e9 <code>S08.19<\/code> est en r\u00e9alit\u00e9 cat\u00e9goris\u00e9 \u00ab Contr\u00f4le des acc\u00e8s \u00bb et appartient probablement \u00e0 S06 (notre interpr\u00e9tation, fond\u00e9e sur la cat\u00e9gorie et la position s\u00e9quentielle entre S06.18 et S06.20; non confirm\u00e9e par communication officielle MSSS). Cette anomalie a \u00e9t\u00e9 conserv\u00e9e telle quelle dans les d\u00e9comptes par code Num pour fid\u00e9lit\u00e9 \u00e0 la source.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">13.3 Mises \u00e0 jour de l&rsquo;article<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>28 avril 2026<\/strong> : publication initiale (consolidant les it\u00e9rations pr\u00e9c\u00e9dentes apr\u00e8s corrections factuelles, m\u00e9thodologiques et conceptuelles).<\/li>\n\n\n\n<li><strong>29 avril 2026 (v3.1)<\/strong> : pr\u00e9cisions m\u00e9thodologiques sur la dimension mesur\u00e9e par les pourcentages; reformulation de la synth\u00e8se de cartographie au niveau sous-domaine; reformulation P02.10 vs RGPD avec consid\u00e9rant 26 et HIPAA Privacy Rule; nuance sur la reconnaissance internationale ISO 27001:2022 via les accords IAF MLA; reformulation du \u00ab 1\/3 du SMSI \u00bb comme convention industrielle; pr\u00e9cision sur la pratique du test d&rsquo;intrusion en ISO 27001:2022 (A.8.29); cadrage de l&rsquo;anomalie S08.19 comme inf\u00e9rence non confirm\u00e9e.<\/li>\n\n\n\n<li><strong>29 avril 2026 (v3.2)<\/strong> : nom institutionnel mis \u00e0 jour (\u00ab Bureau de certification \u00bb, anciennement \u00ab BCH \u00bb); dur\u00e9e de 5 ans sourc\u00e9e par citation litt\u00e9rale de la page MSSS; m\u00e9canisme \u00ab suivi annuel \u00bb pr\u00e9cis\u00e9 comme <strong>autod\u00e9claration annuelle<\/strong>; ajout d&rsquo;une section d\u00e9di\u00e9e \u00e0 la <strong>Loi 5 (LRSSS)<\/strong> entr\u00e9e en vigueur le 1er juillet 2024; reformulation de la description SOC 2 (CPA licenci\u00e9s par State Boards, normes SSAE 18 publi\u00e9es par AICPA, AICPA Peer Review Program); ajout d&rsquo;une note explicite sur l&rsquo;h\u00e9t\u00e9rog\u00e9n\u00e9it\u00e9 interne des sous-domaines \u00ab Partielle \u00bb; alignement du langage qualitatif HIPAA \/ SOC 2 \/ ISO 27701; retrait de PCAOB (orphelin) et ajout SaaS, SSAE 18, Loi 5, LRSSS, DSN au glossaire; ajout des sources NIST SP 800-* cit\u00e9es dans le volet S\u00e9curit\u00e9.<\/li>\n\n\n\n<li><strong>29 avril 2026 (v3.3)<\/strong> : ajout d&rsquo;une <strong>colonne Loi 5<\/strong> au tableau comparatif synth\u00e9tique de la section 8; correction de \u00ab MSSS-BCH \u00bb r\u00e9siduel en \u00ab MSSS \u2013 Bureau de certification \u00bb; pr\u00e9cision syst\u00e9matique du m\u00e9canisme d&rsquo;autod\u00e9claration <strong>\u00e9valu\u00e9e par le Bureau de certification<\/strong> (TL;DR, section 1.2, FAQ, tableaux); mention de l&rsquo;<strong>entr\u00e9e en vigueur graduelle<\/strong> de la Loi 5 (certaines dispositions ult\u00e9rieures); pr\u00e9ciser HIPAA Privacy Rule comme <strong>deux m\u00e9canismes distincts<\/strong> \u2014 Safe Harbor (45 CFR 164.514(b)(2)) et Expert Determination (164.514(b)(1)); pr\u00e9cision \u00ab 55 jurisdictions reconnues par le NASBA \u00bb au lieu de \u00ab 50 boards \u00bb; ajout d&rsquo;une <strong>section sur la m\u00e9canique d&rsquo;audit Stage 1 \/ Stage 2<\/strong> d&rsquo;ISO 27001:2022 selon ISO\/IEC 17021-1; ajout d&rsquo;OCR et d&rsquo;ISO\/IEC 17021-1 aux r\u00e9f\u00e9rences.<\/li>\n\n\n\n<li><strong>30 avril 2026 (v3.4)<\/strong> : optimisations AIO (AI Optimization). Ajout d&rsquo;encadr\u00e9s <strong>\u00ab En bref \u00bb<\/strong> (r\u00e9ponses atomiques de 30-60 mots) au d\u00e9but de chaque section H2. Auto-attribution renforc\u00e9e des chiffres cl\u00e9s (\u00ab Selon le fichier officiel <code>liste-criteres-TGV_v2024-06-18.xls<\/code> du MSSS du 18 juin 2024 \u00bb). Reformulation de plusieurs titres de section en questions utilisateur (sections 7 et 10). Structuration en tableau des volets Interop\u00e9rabilit\u00e9, Performance, Technologie et G\u00e9n\u00e9ral dans la section 2.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:90px\" aria-hidden=\"true\" class=\"wp-block-spacer is-style-wide\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">\u00c0 propos de l&rsquo;auteur<\/h2>\n\n\n\n<p><strong>S\u00e9bastien Robert<\/strong> est l&rsquo;associ\u00e9 principal chez Services conseils Factero. Il pratique en TI depuis 2002, avec une sp\u00e9cialisation en gouvernance, audit, cybers\u00e9curit\u00e9 et conformit\u00e9. Il accompagne des organisations qu\u00e9b\u00e9coises dans leur pr\u00e9paration \u00e0 des certifications r\u00e9glementaires et volontaires.<\/p>\n\n\n\n<p><strong>Services conseils Factero<\/strong> est une firme ind\u00e9pendante de services-conseils en gouvernance TI, cybers\u00e9curit\u00e9 et conformit\u00e9, \u00e9tablie \u00e0 Saint-Jean-sur-Richelieu (Qu\u00e9bec). Factero est elle-m\u00eame certifi\u00e9e <strong>CAN\/DGSI 104:2021 (R\u00e9v. 1 : 2024)<\/strong> dans le cadre du programme CyberS\u00e9curitaire Canada.<\/p>\n\n\n\n<p><strong>Coordonn\u00e9es :<\/strong> 900, du S\u00e9minaire Nord, suite 320, Saint-Jean-sur-Richelieu (Qu\u00e9bec) J2W 1C9 \u2014 <a href=\"https:\/\/factero.ca\">factero.ca<\/a><\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>D\u00e9claration de transparence.<\/strong> Services conseils Factero offre un service d&rsquo;accompagnement \u00e0 la pr\u00e9paration TGV. Cet article est r\u00e9dig\u00e9 \u00e0 des fins informatives et \u00e9ducatives. Il ne constitue pas un avis juridique. Les fournisseurs visant la certification TGV devraient consulter directement le <strong>Bureau de certification et d&rsquo;homologation du MSSS<\/strong> (<code>certification@sante.quebec<\/code>) pour valider l&rsquo;applicabilit\u00e9 et le p\u00e9rim\u00e8tre exact de leur d\u00e9marche.<\/p>\n<\/blockquote>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>R\u00e9ponse rapide La Trousse globale de v\u00e9rification (TGV) est la certification r\u00e9glementaire du minist\u00e8re de la Sant\u00e9 et des Services sociaux du Qu\u00e9bec (MSSS) impos\u00e9e aux produits et services technologiques (PST) qui manipulent des renseignements de sant\u00e9. Le r\u00e9f\u00e9rentiel officiel publi\u00e9 par le Bureau de certification du MSSS (anciennement \u00ab Bureau de certification et d&rsquo;homologation [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-321","post","type-post","status-publish","format-standard","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/posts\/321","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/comments?post=321"}],"version-history":[{"count":3,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/posts\/321\/revisions"}],"predecessor-version":[{"id":502,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/posts\/321\/revisions\/502"}],"wp:attachment":[{"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/media?parent=321"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/categories?post=321"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/tags?post=321"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}