Accueil Blog
Services
Audit informatique
Audit Budget TI
vCIOIntérim Direction TIContre-ExpertiseTest de sauvegardes et préparation à la relèveReprise après incidentPlanification StratégiqueGestion des relations avec les fournisseursTémoin ExpertConformité Loi 25Offre PMERessources humainesConformité RH et politiques TIConformité Loi 27Équité salariale et rémunérationPlacement-ressourceAccompagnement ISO 27001Accompagnement CAN/DGSI 104Accompagnement SOC 2Accompagnement PCCCAccompagnement certification TGVAccompagnement Edtech QuébecAccompagnement cyberassuranceExercice de crise (tabletop)Accompagnement ISO/IEC 42001
ContactPrendre rendez-vousNotre équipeÀ propos
English
AccueilBlogServicesContactPrendre rendez-vousNotre équipeÀ propos
English

Accompagnement à la certification TGV (Trousse globale de vérification)

Votre porte d'entrée au réseau de la santé du Québec. Sans les détours.

Pour les fournisseurs de produits et services technologiques (PST) qui doivent se certifier auprès du Bureau de certification du MSSS / Santé Québec.

Un accompagnement à la certification TGV (Trousse globale de vérification) est un mandat structuré qui mène votre produit ou service technologique de l'autodéclaration jusqu'à l'attestation de conformité délivrée par le Bureau de certification et d'homologation (BCH) du MSSS / Santé Québec. Factero pilote la démarche côté fournisseur : lecture et priorisation des 254 critères au moment d'écrire ces lignes répartis en 4 domaines (sécurité, protection des renseignements personnels, performance, technologie), préparation de la documentation, implémentation des contrôles manquants, coordination du test d'intrusion, revue avant dépôt, et accompagnement pendant la vérification par la firme externe spécialisée (30 jours ouvrables). La TGV évolue régulièrement — Factero suit activement les travaux du MSSS et anticipe les prochaines versions afin que les dispositifs construits avec nos clients tiennent dans le temps. Nous préparons — nous ne certifions pas. La certification est délivrée exclusivement par le BCH, après vérification indépendante. Démarche conduite par un associé principal certifié CISA, avec la LPRPSP (Loi 25), la LADOPPRP, le cadre normatif GIU du MSSS et le NIST-CSF comme référentiels d'appui.
Parler à un expert

Pour qui ?

Éditeurs logiciels, fournisseurs SaaS et intégrateurs dont le produit doit interagir avec les actifs informationnels du réseau de la santé et des services sociaux (SSSS) du Québec.

Entreprises qui ont reçu une demande de certification d'un établissement client (CIUSSS, CISSS, GMF, Santé Québec) et qui n'ont jamais traversé le processus TGV.

Fournisseurs internationaux ou hors Québec dont le produit est déjà utilisé ailleurs, mais qui découvrent que le marché québécois de la santé exige une certification spécifique, non reconnue comme équivalente.

Entreprises en processus de certification qui ont reçu un rapport de vérification avec des non-conformités à corriger dans les délais impartis.

Fournisseurs déjà certifiés TGV qui préparent leur renouvellement annuel par autodéclaration ou leur recertification à 5 ans et qui veulent s'assurer que rien n'a dérivé depuis.

Éditeurs de scribes IA, outils de transcription et solutions d'intelligence artificielle destinés au secteur sociosanitaire, où la TGV est devenue un prérequis combiné à l'ÉFVP.

Quand est-ce utile ?

Si vous vous reconnaissez dans l'une de ces situations, ce service est conçu pour vous.
  • Un établissement de santé québécois a placé votre produit sur sa liste, mais ne peut pas déployer tant que la certification TGV n'est pas obtenue.
  • Vous avez téléchargé la trousse (254 critères, plus de 100 références réglementaires) et vous réalisez que l'écart entre ce que vous faites et ce que le MSSS exige demande une démarche structurée, pas une lecture ligne à ligne.
  • Vous êtes déjà conforme à la Loi 25 ou au RGPD — et vous voulez savoir précisément ce que la TGV ajoute par rapport à ça (la réponse : beaucoup, parce que la TGV est un référentiel sectoriel avec des exigences propres au SSSS).
  • Votre produit a été refusé ou a reçu des non-conformités au rapport de vérification, et vous devez corriger dans un délai court sans mettre en péril le contrat.
  • Vous êtes éditeur de scribe IA, de transcription vocale, ou d'IA générative et vous cherchez à obtenir la certification qui vous ouvrira les portes des établissements publics et des GMF.
  • Vous avez besoin d'un test d'intrusion (pentest) conforme aux orientations du MSSS, coordonné avec les bons fournisseurs, livré avec les preuves exigées par le Bureau de certification.
  • Votre produit évolue et vous ne savez pas si un changement déclenche une nouvelle vérification ou si une simple mise à jour de l'autodéclaration suffit.
  • Vous avez reçu une demande du Bureau de certification et vous voulez cadrer la relation avant de vous engager — pas après.

Qu'est-ce que vous obtenez ?

Checkbox icon

Une analyse d'écart complète entre votre produit actuel et les 254 critères de la TGV, priorisée par domaine (sécurité, PRP, performance, technologie) et par niveau d'effort requis.

Checkbox icon

Une estimation réaliste du délai, du coût total (honoraires Factero + honoraires firme de vérification + éventuels investissements techniques) et de la charge sur vos équipes internes — avant que vous vous engagiez.

Checkbox icon

Les politiques, procédures et pièces probantes requises par l'autodéclaration, rédigées ou adaptées à votre réalité — pas une pile de gabarits génériques qui ne résisteront pas à la vérification.

Checkbox icon

La coordination du test d'intrusion (pentest) selon les orientations du MSSS : cadrage du périmètre, sélection du prestataire si vous n'en avez pas, transmission des résultats et des mesures de mitigation au Bureau de certification dans les délais exigés.

Checkbox icon

L'implémentation des contrôles techniques manquants (MFA, chiffrement, journalisation, gestion des accès, sauvegardes testées, etc.) en collaboration avec vos équipes produit et TI.

Checkbox icon

Un dossier de vérification prêt à déposer : structure attendue par le BCH, pièces probantes organisées par critère, mapping clair entre chaque critère et les preuves associées.

Checkbox icon

Un accompagnement actif pendant la vérification conduite par la firme externe (30 jours ouvrables) : réponse aux demandes d'éclaircissement, gestion des non-conformités éventuelles, préparation de vos équipes aux entrevues.

Checkbox icon

Un plan de maintien pour les 5 ans de validité : préparation de l'autodéclaration annuelle, suivi des changements du produit et du cadre normatif, préparation de la recertification.

Pas un bon fit ?

  • La certification TGV est un engagement exigeant — lecture minutieuse de la norme, implémentation technique, vérification indépendante par firme externe, test d'intrusion, pièces probantes pour chaque critère. Elle requiert un propriétaire interne (souvent le CTO, le responsable produit ou le responsable sécurité) mandaté pour mobiliser vos équipes de développement, d'infrastructure et de conformité. Sans ce point d'ancrage, même le meilleur accompagnement externe ne tient pas la distance.
  • Si votre produit n'est pas destiné à interagir avec les actifs informationnels du SSSS — par exemple un outil vendu à un cabinet privé qui n'échange aucune donnée avec les systèmes du réseau — la TGV n'est probablement pas exigée. On vérifie ensemble à l'appel découverte avant que vous investissiez.
  • Si votre client vous demande « une certification de sécurité » sans préciser laquelle, il est possible qu'ISO 27001 ou CAN/DGSI 104 soit suffisante — la TGV est une certification de produit dans un secteur spécifique, pas une certification générale d'entreprise. On clarifie avant de s'engager sur la mauvaise cible.
  • Si vous êtes à l'étape très préliminaire — produit en phase bêta, pas encore de contrat en santé — il peut être plus sage de viser un audit indépendant Factero ou une préparation à ISO 27001 / CAN/DGSI 104 comme fondation, puis d'attaquer la TGV quand un contrat concret se présente.

Comment fonctionne le processus ?

Une approche rigoureuse et transparente, étape par étape.
Cadrage et enregistrement
On débute par une lecture commune de votre contexte : quel produit, quelle version, quels établissements ciblés, quels flux avec les systèmes du SSSS, quelle maturité actuelle de votre dispositif de sécurité et de PRP. C'est aussi l'étape où on remplit le formulaire de demande de certification auprès du Bureau de certification et où on confirme les objectifs d'interopérabilité du produit — un choix qui influence l'étendue de la vérification.
Analyse d'écart sur 254 critères
On cartographie votre produit contre les 254 critères de la TGV, répartis en 7 groupes (Général, Interopérabilité, PRPS, Performance, Sécurité, Technologie) et 36 catégories. On identifie ce qui est déjà en place et documentable, ce qui doit être ajusté, et ce qui demande un vrai chantier. Livrable : rapport d'écart priorisé par effort et par risque, avec estimation réaliste du délai.
Autodéclaration et implémentation
On rédige les politiques, procédures et pièces probantes attendues — au niveau de détail exigé par le BCH, pas au niveau d'un pitch commercial. En parallèle, on implémente avec vos équipes les contrôles techniques manquants : MFA, chiffrement en transit et au repos, journalisation, gestion des accès, sauvegardes testées, gestion des incidents, etc. Le cadre NIST-CSF structure la priorisation par risque réel.
Test d'intrusion (pentest)
On coordonne le test d'intrusion conformément aux orientations du MSSS. Si vous avez déjà un prestataire, on cadre le périmètre avec lui. Sinon, on vous met en relation avec des firmes qualifiées : la recommandation suit vos besoins, et toute entente de référencement est divulguée, conformément à notre charte d'indépendance. Les résultats et les mesures de mitigation sont transmis au BCH en même temps que l'autodéclaration.
Dépôt et vérification
On dépose le dossier au Bureau de certification. La vérification par la firme externe spécialisée dure 30 jours ouvrables. On vous accompagne activement pendant cette période : traduction des demandes de la firme en actions concrètes pour vos équipes, préparation aux entrevues, gestion des non-conformités éventuelles et des plans de correction dans les délais impartis.
Maintien sur 5 ans
La certification est valide 5 ans, renouvelable annuellement par autodéclaration attestant que les engagements sont respectés et que rien n'a changé matériellement. On reste disponible pour préparer chaque autodéclaration annuelle, documenter les changements du produit, et préparer la recertification à 5 ans — sans vous enfermer dans un contrat récurrent.

Foire aux questions

Les réponses aux questions que nos clients posent avant de nous contacter.
Combien de temps ça prend réellement ?
La réponse honnête dépend de votre maturité de départ — entre 3 et 9 mois est réaliste pour la majorité des fournisseurs. Selon la documentation du MSSS, la préparation à l'étape de vérification dure typiquement 1 à 6 semaines, suivie de la vérification par la firme externe qui prend 30 jours ouvrables. Ces délais supposent que votre produit est déjà largement aligné avec les exigences et que vous avez simplement à documenter, formaliser et fournir les preuves. Dans la réalité, l'écart initial est souvent plus grand : implémentation de contrôles techniques manquants, rédaction de politiques qui n'existaient pas, coordination d'un premier test d'intrusion, ajustements architecturaux parfois. Chez Factero, on ne promet pas « 3 mois » à l'appel commercial : on donne une estimation réaliste dès l'analyse d'écart, basée sur votre produit tel qu'il est, pas tel qu'on aimerait qu'il soit. (Source : MSSS, « À propos de la certification ».)
Combien ça coûte — et qu'est-ce qui n'est pas inclus ?
L'accompagnement Factero couvre la préparation complète — analyse d'écart, rédaction de l'autodéclaration, implémentation des contrôles, coordination du test d'intrusion, accompagnement pendant la vérification, maintien. Les coûts non inclus et payés directement par vous : les honoraires de la firme de vérification externe mandatée par le BCH, le test d'intrusion (quelques milliers à plusieurs dizaines de milliers de dollars selon la complexité du produit), et les éventuels investissements techniques identifiés pendant la démarche. Le MSSS est clair sur ce point : les coûts de certification sont assumés par le fournisseur et non remboursables — et ils varient selon la complexité du produit et les objectifs d'interopérabilité. On vous remet une estimation complète des trois postes dès l'analyse d'écart. (Source : MSSS, « À propos de la certification ».)
On est déjà conformes à la Loi 25 / RGPD / ISO 27001. Est-ce que ça suffit ?
Non — aucune de ces conformités ne remplace la TGV. La TGV est un référentiel sectoriel québécois avec des exigences propres au SSSS : certaines sont techniques (interopérabilité avec les systèmes du réseau, performance mesurable, support en français), d'autres sont réglementaires et spécifiques à la santé (LADOPPRP, Cadre normatif sur la gestion de l'identification de l'usager, exigences sur le lieu de résidence des données). Cela dit, une bonne base Loi 25 ou ISO 27001 accélère significativement la démarche : les exigences de PRP se recouvrent largement, la gouvernance de la sécurité est déjà en place, et la documentation existante est souvent réutilisable moyennant adaptation. L'analyse d'écart identifie précisément ce qui est transposable tel quel, ce qui demande reformulation, et ce qui reste entièrement à construire.
Qu'est-ce qu'il y a dans les 254 critères ?
Les critères sont répartis en 4 grands domaines : sécurité, protection des renseignements personnels (PRP), performance et technologie. Concrètement, la liste couvre 7 groupes et 36 catégories, dont : Responsabilité et gouvernance de la PRP, Consentement, Licéité et finalité, Minimisation et limitation de la collecte, Exactitude et qualité des données, Limitation de l'utilisation et de la divulgation, Limitation de la conservation, Ouverture et transparence, Participation individuelle, Organisation de la sécurité, Sécurité des ressources humaines, Gestion des actifs, Contrôle des accès, Cryptographie, Sécurité physique, Sécurité liée à l'exploitation, Sécurité des communications, Acquisition et développement, Relation avec les fournisseurs, Gestion des incidents, Continuité, Gestion de la conformité, Identification de l'usager, Lieu de résidence des données, Interopérabilité, Performance. Chaque critère est adossé à une référence : LPRPSP (Loi 25), LADOPPRP, Cadre normatif GIU et autres orientations du MSSS. (Source : Liste des critères TGV, version 18 juin 2024, MSSS.)
Est-ce que la certification couvre toute notre entreprise, ou juste le produit ?
La TGV certifie une version précise d'un produit ou service technologique — pas l'entreprise dans son ensemble. Si vous avez trois produits qui doivent interagir avec les systèmes du SSSS, chacun doit être certifié séparément. Si vous sortez une version majeure qui change l'architecture, les flux de données ou la posture de sécurité, une nouvelle vérification est généralement requise — une simple mise à jour de l'autodéclaration ne suffit pas. C'est une différence importante avec ISO 27001, qui certifie votre système de gestion (ISMS). Pour un fournisseur qui sert la santé au Québec, il n'est pas rare de devoir mener les deux démarches en parallèle : ISO 27001 pour la crédibilité commerciale globale, TGV pour l'autorisation sectorielle effective. Factero peut mener les deux de front en réutilisant la documentation commune — on en parle à l'analyse d'écart.
Notre MSP gère déjà notre infrastructure. Peut-il aussi piloter notre démarche TGV ?
Votre MSP est un acteur clé de la mise en œuvre technique — mais piloter la démarche TGV est un rôle distinct, et la vérification externe y sera attentive. La TGV est vérifiée par une firme externe spécialisée mandatée par le Bureau de certification ; cette firme a pour mandat explicite de valider l'indépendance entre les pratiques documentées et les acteurs qui les opèrent. Si votre MSP rédige les politiques, implémente les contrôles et est responsable de les faire respecter au quotidien, la firme de vérification posera des questions difficiles. Factero n'a aucun lien commercial avec votre MSP ni avec aucun fournisseur technologique : nous structurons la démarche, documentons la réalité, et laissons votre MSP faire ce qu'il fait bien — l'opération. On travaille avec lui, pas à sa place, exactement comme pour un audit indépendant.
Qu'est-ce qui se passe si on a des non-conformités au rapport de vérification ?
Les non-conformités sont une étape normale — rares sont les produits qui passent au premier essai sans remarques. La firme externe documente les écarts par rapport aux critères ; vous avez un délai formel pour apporter les correctifs ou mettre en place des mesures de mitigation. Selon la documentation du MSSS, ces correctifs doivent être apportés dans un délai maximal, avec preuves à l'appui. Si les non-conformités sont nombreuses ou structurelles, l'impact sur le délai et le budget peut être significatif — et c'est exactement pour ça que la revue interne avant dépôt vaut le coup. Factero vous accompagne à chaque étape de la correction : priorisation, coordination avec vos équipes, re-soumission auprès du BCH. Si les non-conformités résultent de décisions architecturales profondes, on vous le dira clairement au lieu de pousser de la mitigation cosmétique qui ne tiendra pas à la recertification.
Combien de temps la certification est-elle valide ?
La certification est valide 5 ans, mais elle doit être renouvelée annuellement par autodéclaration. L'autodéclaration atteste que les engagements pris lors de la certification initiale sont toujours respectés et que rien de matériel n'a changé. Elle est valide tant qu'il n'y a pas de changement — ni dans votre produit, ni dans les systèmes informationnels du réseau de la santé. Si vous sortez une version majeure, si votre architecture change, ou si le MSSS met à jour la trousse de critères, une nouvelle vérification peut être déclenchée avant les 5 ans. Factero assure le suivi de ces évolutions pour vous, sans vous facturer chaque courriel au passage. (Source : MSSS, « À propos de la certification ».)
Est-ce qu'on doit obligatoirement passer la TGV pour vendre en santé au Québec ?
Oui, dès que votre produit est destiné à interagir avec les actifs informationnels du SSSS. Selon le cadre de gestion publié par le MSSS, toute version d'une application destinée à interagir avec les actifs informationnels du SSSS doit être officiellement certifiée ou homologuée et recevoir un code d'identification unique. Autrement dit, sans certification, votre produit ne peut pas être déployé dans un établissement connecté au réseau. Le déploiement progressif de l'obligation se fait selon les priorités du MSSS, mais la trajectoire est claire : la certification devient un prérequis structurel pour le marché sociosanitaire québécois. C'est une barrière à l'entrée réelle — qui protège aussi votre investissement une fois franchie. (Source : Cadre de gestion de la certification et de l'homologation, MSSS.)
On développe un scribe IA ou un outil de transcription. Y a-t-il des particularités ?
Oui — et elles se sont intensifiées en 2025-2026. Pour les scribes IA, outils de transcription vocale et solutions d'IA destinés au sociosanitaire, la TGV est maintenant un prérequis combiné à une Évaluation des facteurs à la vie privée (ÉFVP). Santé Québec a mis en place un comité provincial qui réalise l'ÉFVP de certains outils déjà certifiés TGV pour une utilisation en établissement, mais l'ÉFVP reste à faire par chaque organisation acquéreur hors établissement (par exemple en GMF). Pour vous comme fournisseur, cela signifie : votre produit doit passer la TGV et fournir la documentation qui permet à un établissement ou à Santé Québec de réaliser l'ÉFVP de son côté. Factero prépare les deux ensembles de pièces probantes en parallèle. (Source : quebec.ca, programme de transcription IA, mise à jour mars 2026.)
Quelle méthodologie utilisez-vous ?
Factero s'appuie sur la liste officielle des critères TGV (version en vigueur publiée par le MSSS) comme cible, complétée par le NIST Cybersecurity Framework (NIST-CSF) pour structurer l'évaluation des risques et prioriser les recommandations. Les référentiels réglementaires mobilisés selon les critères concernés : LPRPSP (Loi 25), LADOPPRP, Cadre normatif sur la gestion de l'identification de l'usager (CN-GIU) du MSSS, et les orientations spécifiques du Bureau de certification (notamment sur les tests d'intrusion). Le principal associé détient la certification CISA (Certified Information Systems Auditor) délivrée par l'ISACA — la référence internationale en audit des systèmes d'information. La démarche est adaptée à la taille et à la complexité de chaque produit : on ne prépare pas une application transactionnelle critique comme un outil de transcription local.
Est-ce que c'est confidentiel ?
Oui, chaque mandat d'accompagnement mené par Factero est encadré par un engagement de confidentialité formel en faveur du client, signé avant le début des travaux. Aucune information — code source, documentation d'architecture, résultats de pentest, stratégie produit — n'est partagée avec un tiers, un fournisseur ou un partenaire sans votre autorisation écrite explicite, conformément à notre politique de protection des renseignements personnels et aux exigences de la Loi 25. Les éléments remis au Bureau de certification et à la firme de vérification sont transmis sous votre contrôle et avec votre validation. Cette rigueur s'applique à l'ensemble de nos mandats, sans exception.
Est-ce qu'on s'engage dans un suivi récurrent ?
Non. L'accompagnement se termine naturellement à l'obtention de la certification. Pour le maintien — autodéclaration annuelle, veille sur les changements du cadre normatif, préparation de la recertification à 5 ans — certaines organisations préfèrent nous garder sur une cadence légère. D'autres internalisent après le premier cycle. Notre charte d'indépendance interdit la création de dépendance artificielle : on ne recommande jamais un suivi dont vous n'avez pas besoin. Si votre équipe peut reprendre le relais après la première certification, c'est un bon résultat.
Pourquoi Factero pour ce mandat — qu'est-ce qui vous différencie ?
Avant de signer avec un cabinet d'accompagnement, vérifiez quelques éléments fondamentaux. Un cabinet sérieux les démontre sans hésitation et par écrit. Cabinet lui-même certifiéFactero détient la certification CyberSécuritaire Canada (CAN/DGSI 104:2021 / Rev 1:2024), vérifiable publiquement au registre IAF CertSearch et via notre Trust Center. Nous appliquons à notre propre organisation les standards que nous accompagnons chez nos clients. Un cabinet qui vous accompagne vers une certification reconnue devrait, par cohérence, en détenir une lui-même. Entreprise incorporée et établie depuis 2022Factero Service Conseil est dûment incorporée au Registre des entreprises du Québec (REQ) depuis 2022, sans procédure d'insolvabilité ni de faillite. Le statut juridique de tout cabinet candidat se vérifie gratuitement au REQ ; les procédures d'insolvabilité et de faillite figurent au registre du Bureau du surintendant des faillites Canada (osb-bsf.ic.gc.ca). Équipe complète et continuité opérationnelleFactero s'appuie sur une équipe interdisciplinaire couvrant les technologies de l'information, les ressources humaines et la comptabilité — les trois dimensions qui se croisent dans la plupart des mandats de gouvernance. Un mandat de certification s'étend sur 6 à 18 mois ; le cabinet qui vous accompagne doit avoir la profondeur d'équipe pour tenir la distance, pas seulement la disponibilité d'une seule personne. Assurance responsabilité professionnelle et cyberassuranceFactero détient une couverture responsabilité professionnelle (E&O) et une cyberassurance actives, adaptées à ses activités de conseil en gouvernance TI et en cybersécurité. Un cabinet qui vous recommande une cyberassurance devrait, par cohérence, en détenir une lui-même. Demandez l'attestation avant de signer. Indépendance écrite et publique — Nos engagements sont encadrés par une Charte d'Indépendance publique qui interdit commissions, rétrocessions et arrangements commerciaux avec les fournisseurs, courtiers et marchés. Inscription aux marchés publicsFactero est inscrit au SEAO (Québec) et au Ontario Tenders Portal — démarche qui implique vérifications réglementaires et attestations fiscales à jour. Ces critères ne sont pas des arguments commerciaux. Ce sont les conditions minimales à demander à tout cabinet candidat. L'absence de réponse claire à l'une de ces questions est, en soi, une réponse.
Nos conseils restent indépendants. Consultez notre Charte d'indépendance.

Services complémentaires

Conformité Loi 25 Accompagnement ISO 27001 Accompagnement CAN/DGSI 104 Voir plus

Besoin d'avancer sur ce sujet ?

Discutons de votre situation spécifique. Sans engagement, juste des conseils d'expert.
Parler à un expert