Accueil Blog
Services
Audit informatique
Audit Budget TI
vCIOIntérim Direction TIContre-ExpertiseTest de sauvegardes et préparation à la relèveReprise après incidentPlanification StratégiqueGestion des relations avec les fournisseursTémoin ExpertConformité Loi 25Offre PMERessources humainesConformité RH et politiques TIConformité Loi 27Équité salariale et rémunérationPlacement-ressourceAccompagnement ISO 27001Accompagnement CAN/DGSI 104Accompagnement SOC 2Accompagnement PCCCAccompagnement certification TGVAccompagnement Edtech QuébecAccompagnement cyberassuranceExercice de crise (tabletop)Accompagnement ISO/IEC 42001
ContactPrendre rendez-vousNotre équipeÀ propos
English
AccueilBlogServicesContactPrendre rendez-vousNotre équipeÀ propos
English

Accompagnement à la conformité sécurité Edtech (réseau scolaire québécois)

Pour vendre votre solution numérique aux centres de services scolaires, les exigences cyber sont devenues sérieuses. On vous y prépare.

Pour les fournisseurs Edtech qui veulent répondre aux exigences de sécurité des CSS, du MEQ et de la FCSSQ — sans bâtir un dispositif générique qui ne répondra à rien.

Un accompagnement à la conformité Edtech est un mandat structuré qui prépare votre produit ou service technologique destiné au secteur scolaire québécois à répondre aux exigences de sécurité de l'information imposées par les centres de services scolaires (CSS), le ministère de l'Éducation du Québec (MEQ) et leurs cadres de référence. Factero pilote la démarche côté fournisseur : lecture des cadres réglementaires applicables (LGGRI, Directive sur la sécurité de l'information gouvernementale, Loi 25, exigences spécifiques des CSS), analyse d'écart, rédaction des pièces probantes, accompagnement pendant les évaluations des CSS clients. Notre rôle n'est pas de remplacer une certification — il n'existe pas, à ce jour, de certification Edtech officielle équivalente à la TGV en santé. Notre rôle est de structurer votre dispositif de sécurité et votre documentation pour répondre honnêtement et efficacement aux exigences contractuelles qui se sont durcies depuis 2023. Démarche conduite par un associé principal certifié CISA, avec NIST-CSF, ISO 27002 et les cadres provinciaux applicables comme référentiels d'appui.
Parler à un expert

Pour qui ?

Éditeurs de logiciels éducatifs, plateformes de gestion pédagogique, solutions de classe virtuelle, outils d'évaluation et de suivi qui vendent ou veulent vendre aux centres de services scolaires du Québec.

Fournisseurs de services infonuagiques (SaaS) qui hébergent des données d'élèves (notes, présences, communications, dossiers de soutien) et qui découvrent que les exigences de sécurité des CSS clients sont devenues beaucoup plus exigeantes que la simple conformité à la Loi 25.

Entreprises de scribe IA, transcription, outils d'analyse pédagogique basée sur l'IA qui sont confrontées à un double défi : exigences de sécurité et évaluation des facteurs relatifs à la vie privée (ÉFVP) sur l'utilisation d'IA en contexte scolaire.

Fournisseurs déjà actifs dans le réseau de la santé (certifiés TGV) ou ailleurs au gouvernement qui veulent étendre au scolaire en réutilisant leur dispositif existant.

Éditeurs Edtech qui ont reçu une demande de questionnaire de sécurité d'un CSS, d'une fédération scolaire ou d'un appel d'offres et qui ne savent pas comment y répondre crédiblement.

Entreprises qui ont vu un déploiement bloqué ou ralenti par les équipes TI d'un CSS pour des motifs de sécurité ou de protection des renseignements personnels.

Fournisseurs internationaux ou hors Québec qui veulent comprendre les spécificités québécoises du marché scolaire avant d'investir dans une démarche commerciale.

Quand est-ce utile ?

Si vous vous reconnaissez dans l'une de ces situations, ce service est conçu pour vous.
  • Un CSS client a transmis son cadre de gestion de la sécurité de l'information et exige que vous démontriez votre conformité avant déploiement.
  • Vous avez reçu un questionnaire de sécurité de 50 à 200 questions d'une équipe TI d'un CSS et personne dans votre organisation ne sait répondre avec certitude à la majorité.
  • Vous êtes éditeur de scribe IA, d'outil de transcription ou de solution d'IA pédagogique et vous découvrez qu'au-delà de la sécurité, une ÉFVP est demandée — souvent par chaque CSS séparément, sans coordination provinciale.
  • Vous avez perdu — ou risquez de perdre — un appel d'offres scolaire faute de pouvoir démontrer votre conformité de manière convaincante.
  • Vous êtes déjà certifiés TGV pour le marché de la santé et vous voulez savoir ce qui est transposable vers le scolaire (la réponse : beaucoup, mais pas tout).
  • Vous êtes déjà conformes Loi 25 mais vous découvrez que les CSS demandent plus — des éléments propres à la gouvernance des actifs informationnels en réseau public.
  • Vous voulez comprendre la différence entre les exigences fixées par le MEQ au niveau provincial, celles relayées par la FCSSQ (Fédération des centres de services scolaires du Québec), et celles que chaque CSS ajoute en plus.
  • Vous traitez des données de mineurs et vous voulez vous assurer que votre dispositif respecte non seulement la Loi 25 mais aussi les attentes éthiques et opérationnelles du milieu scolaire.

Qu'est-ce que vous obtenez ?

Checkbox icon

Une cartographie du paysage réglementaire et contractuel applicable au secteur scolaire québécois : cadres provinciaux (LGGRI, Directive sur la sécurité de l'information gouvernementale, Loi 25), orientations du MEQ, pratiques de la FCSSQ, et exigences spécifiques des CSS auxquels vous vous adressez.

Checkbox icon

Une analyse d'écart complète entre votre dispositif actuel et l'ensemble des exigences applicables, priorisée par CSS visés et par criticité.

Checkbox icon

Un dispositif documentaire structuré : politique de sécurité, gestion des accès, gestion des incidents, gestion des sauvegardes, gestion des fournisseurs, plan de continuité — au niveau attendu par les équipes TI des CSS, pas un gabarit générique.

Checkbox icon

Une ÉFVP (Évaluation des facteurs relatifs à la vie privée) documentée pour votre produit — particulièrement critique pour les solutions traitant des données d'élèves mineurs, et systématiquement exigée pour les outils d'IA, scribes et solutions de transcription.

Checkbox icon

Un questionnaire type rempli que vous pourrez réutiliser quand chaque CSS vous transmettra le sien — avec des réponses cohérentes, vérifiables, et accompagnées des preuves attendues.

Checkbox icon

Une fiche de présentation sécurité (security overview) pour vos commerciaux — un document de 4 à 8 pages que les équipes TI des CSS reconnaîtront comme crédible et qui débloque souvent l'évaluation détaillée.

Checkbox icon

Un accompagnement actif pendant les évaluations des CSS clients : traduction des questions, préparation des entrevues techniques, gestion des demandes de modifications contractuelles.

Checkbox icon

Un plan de maintien : suivi des évolutions réglementaires provinciales, ajustement du dispositif quand de nouvelles exigences émergent (par exemple sur l'utilisation d'IA en contexte scolaire, qui évolue rapidement).

Pas un bon fit ?

  • L'accompagnement Edtech fonctionne quand votre objectif est de vendre durablement au réseau scolaire — pas de cocher des cases pour un déploiement ponctuel qui ne tiendra pas au prochain renouvellement.
  • Si vous cherchez une certification reconnue comme la TGV en santé, soyez transparent avec vos prospects : à ce jour, il n'existe pas de certification Edtech officielle équivalente délivrée par le MEQ ou par un organisme tiers accrédité. Présenter un accompagnement Factero comme une « certification Edtech » serait trompeur — ce n'est pas notre approche, et ce n'est probablement pas la vôtre non plus.
  • Si votre cible commerciale est le secteur privé éducatif (écoles privées, formations professionnelles privées, formation continue d'entreprise), les exigences sont très différentes : les écoles privées n'opèrent pas sous les mêmes cadres que les CSS, et les exigences sont généralement moins formelles. Un audit indépendant Factero ou une préparation ISO 27001 / SOC 2 sera souvent plus pertinent.
  • Si vous visez à la fois plusieurs marchés réglementés (santé, scolaire, gouvernement provincial, défense) avec le même produit, l'angle d'attaque doit être différent — on regarde la fondation commune (ISO 27001 ou CAN/DGSI 104) avant les surcouches sectorielles. On en discute à l'appel découverte.
  • Si vous êtes à un stade très précoce (produit en bêta, pas encore de revenus dans le scolaire, pas de contrat concret en vue), l'accompagnement Edtech complet peut être prématuré. Une fiche de présentation sécurité et une ÉFVP minimale peuvent suffire pour entamer les premières conversations commerciales — sans investir dans un dispositif complet.

Comment fonctionne le processus ?

Une approche rigoureuse et transparente, étape par étape.
Cadrage et exigences applicables
On commence par un cadrage précis : quels produits ou services, quelles fonctionnalités, quels types de données traitées (notes, présences, communications, dossiers de soutien, données biométriques le cas échéant), quels CSS visés, quels contrats actuels ou en négociation. On identifie ensuite les cadres réglementaires applicables (LGGRI, Directive sur la sécurité de l'information gouvernementale, Loi 25) et les exigences contractuelles spécifiques transmises par vos CSS clients ou prospects. Les exigences varient d'un CSS à l'autre — il n'y a pas un référentiel unique provincial pour le scolaire comme la TGV en santé.
Analyse d'écart et stratégie
On cartographie votre dispositif actuel contre l'ensemble des exigences applicables. On identifie ce qui est déjà en place et documentable, ce qui demande un ajustement, et ce qui doit être construit. On structure la stratégie autour de votre réalité commerciale : si vous visez trois CSS spécifiques, on optimise pour leurs exigences exactes ; si vous visez le réseau scolaire dans son ensemble, on construit un socle générique solide qui répondra à 80 % des questionnaires.
Construction du dispositif
On rédige les politiques, procédures et pièces probantes attendues : politique de sécurité de l'information, gestion des accès et authentification, journalisation et surveillance, gestion des incidents, sauvegardes et reprise, gestion des fournisseurs et des sous-traitants (point sensible en scolaire), gestion des données d'élèves, lieu de résidence des données. Le cadre ISO 27002 et le NIST Cybersecurity Framework structurent la rédaction — c'est aussi le langage que les équipes TI des CSS reconnaissent.
ÉFVP et documentation IA
Pour les produits traitant des données personnelles d'élèves — donc la grande majorité des produits Edtech — une ÉFVP est requise par la Loi 25 et systématiquement demandée par les CSS. Pour les produits intégrant de l'IA (scribe, transcription, analyse pédagogique, outils adaptatifs), une documentation additionnelle est exigée : nature des modèles utilisés, données d'entraînement, mécanismes d'apprentissage continu, transparence algorithmique, gouvernance des biais. Factero structure ces documents au niveau attendu par les organismes publics québécois.
Préparation outils commerciaux
On prépare un questionnaire de sécurité type rempli que vos commerciaux pourront adapter pour chaque CSS qui vous transmet le sien, et une fiche de présentation sécurité (security overview) de 4 à 8 pages que les équipes TI des CSS reconnaîtront comme crédible. Cette fiche débloque souvent l'évaluation détaillée et accélère le cycle de vente.
Accompagnement évaluations CSS
Pendant les évaluations conduites par les équipes TI des CSS, on traduit. Le CSS pose une question technique précise — on répond avec les preuves, dans son langage. Vous avez une réalité opérationnelle particulière (architecture multi-tenant, fournisseur infonuagique hors Québec, intégration avec d'autres systèmes scolaires) — on l'explique dans des notes techniques qui préviennent les questions plutôt que les attendre. On gère les modifications contractuelles demandées par les CSS (clauses Loi 25, exigences de notification, audits clients) — un point sensible où beaucoup de fournisseurs Edtech perdent du temps.
Maintien et veille réglementaire
Le secteur scolaire québécois évolue : nouvelles orientations du MEQ sur l'IA, cadres provinciaux en mise à jour, évolution des exigences contractuelles des CSS. On suit ces évolutions et on ajuste votre dispositif quand c'est pertinent — sans contrat récurrent imposé.

Foire aux questions

Les réponses aux questions que nos clients posent avant de nous contacter.
Existe-t-il une « certification Edtech » officielle au Québec ?
Non — pas à ce jour, et c'est important d'être transparent à ce sujet. Contrairement à la TGV en santé qui est une certification formelle délivrée par le Bureau de certification du MSSS / Santé Québec, le secteur scolaire québécois n'a pas, à notre connaissance, de programme de certification de produit équivalent administré par le ministère de l'Éducation ou par un organisme tiers accrédité. Ce qui existe : (1) des cadres réglementaires provinciaux (LGGRI, Directive sur la sécurité de l'information gouvernementale, Loi 25) qui s'imposent à tous les organismes publics incluant les CSS ; (2) des cadres de gestion de la sécurité que chaque CSS adopte (souvent en s'inspirant de modèles provinciaux et de pratiques de la FCSSQ) ; (3) des exigences contractuelles que chaque CSS impose à ses fournisseurs. Factero vous accompagne pour répondre à ces exigences honnêtement — pas pour décrocher un label qui n'existe pas. Si un concurrent vous parle de « certification Edtech MEQ », demandez-lui de vous montrer l'organisme certificateur et l'accréditation : c'est généralement marketing.
Pourquoi les exigences varient-elles d'un CSS à l'autre ?
Parce que chaque CSS est un organisme public autonome qui adopte son propre cadre de gestion. Tous les CSS sont soumis aux mêmes lois et directives provinciales (LGGRI, Loi 25, Directive sur la sécurité de l'information gouvernementale), mais chacun traduit ces obligations dans son propre cadre de gestion de la sécurité de l'information, ses propres politiques, ses propres questionnaires fournisseurs. La FCSSQ publie des orientations qui homogénéisent partiellement les pratiques, mais l'autonomie locale demeure réelle. Pour un fournisseur, cela signifie qu'un dispositif robuste répondra à 70-80 % des exigences de tout CSS — mais les 20-30 % restants demandent une adaptation par client. Factero structure votre dispositif pour maximiser le socle commun et minimiser le travail d'adaptation client par client.
On est déjà certifiés TGV pour la santé. Est-ce que ça suffit pour le scolaire ?
Non, mais ça accélère considérablement. Les deux secteurs partagent une fondation : exigences provinciales (LGGRI, Loi 25), pratiques de sécurité (ISO 27002, NIST-CSF), gouvernance des données. Une grande partie de votre dispositif TGV est réutilisable — politiques, procédures, ÉFVP, plan de continuité, gestion des accès. Ce qui diffère : (1) les données traitées (données d'élèves, souvent mineurs, plutôt que données de santé) ; (2) les interlocuteurs et leurs questionnaires (équipes TI des CSS plutôt que Bureau de certification) ; (3) certaines exigences spécifiques au scolaire (gestion des consentements parentaux le cas échéant, exigences contractuelles propres aux CSS). On estime à 50-70 % le recouvrement utile entre TGV et exigences scolaires — l'analyse d'écart précise le chiffre dans votre cas.
On vend du scribe IA / transcription / IA pédagogique. Qu'est-ce qui est exigé ?
Les exigences se sont considérablement durcies depuis 2024-2025. Pour les outils intégrant de l'IA destinés au secteur scolaire, les CSS et le MEQ demandent généralement : (1) un dispositif de sécurité documenté équivalent à ce qui est demandé pour tout fournisseur ; (2) une ÉFVP spécifique qui couvre les enjeux propres à l'IA — données d'entraînement, mécanismes d'apprentissage continu, transparence algorithmique, gouvernance des biais, possibilité de retrait des données ; (3) souvent une clarification sur le lieu de résidence et de traitement des données (avec les implications particulières quand des modèles d'IA générale sont utilisés en sous-traitance) ; (4) parfois une démonstration que les données scolaires ne sont pas utilisées pour entraîner des modèles réutilisés ailleurs — point particulièrement sensible. Factero structure cette documentation au niveau attendu. La situation pour l'IA en scolaire évolue rapidement — c'est un service qu'on actualise régulièrement.
Combien de temps ça prend ?
Pour un dispositif complet, comptez 3 à 6 mois selon votre point de départ. Si vous êtes déjà conformes Loi 25, certifiés TGV, ISO 27001 ou SOC 2, une grande partie du travail est réutilisable et les délais raccourcissent significativement (parfois 6 à 10 semaines pour préparer un dispositif Edtech robuste). Si vous partez d'un dispositif minimal, le délai inclut l'implémentation de contrôles techniques manquants en plus de la documentation. Pour répondre à un questionnaire spécifique d'un CSS avec un dispositif déjà solide, 2 à 4 semaines peuvent suffire. Factero donne une estimation réaliste dès l'analyse d'écart.
Combien ça coûte ?
L'accompagnement Factero couvre la préparation complète — cadrage, analyse d'écart, construction du dispositif documentaire, ÉFVP, préparation des outils commerciaux, accompagnement des évaluations CSS. Les coûts non inclus et payés directement par vous : les éventuels investissements techniques identifiés (renforcement MFA, journalisation, outils de protection des données, etc.) et le temps de vos équipes internes — toujours l'investissement principal. À noter : contrairement à TGV (santé) ou PCCC (défense), il n'y a généralement pas d'honoraires de certification tiers à prévoir pour le scolaire, puisqu'il n'y a pas d'organisme certificateur. Les évaluations sont conduites directement par les équipes TI des CSS, sans coût direct pour vous.
Notre fournisseur infonuagique est hors Québec / hors Canada. Est-ce un problème ?
Pas nécessairement, mais ça demande une attention particulière. La Loi 25 (article 17) impose une évaluation des facteurs relatifs à la vie privée avant toute communication de renseignements personnels à l'extérieur du Québec, et l'évaluation doit conclure que le niveau de protection est équivalent. Les CSS, en tant qu'organismes publics, sont particulièrement sensibles à cette question pour les données d'élèves. Les fournisseurs Edtech utilisant des infrastructures américaines ou européennes peuvent répondre — mais doivent documenter de manière convaincante : nature des données transférées, juridictions concernées, mécanismes contractuels et techniques de protection (clauses contractuelles, chiffrement, contrôle des accès), réponse au risque d'accès gouvernemental étranger (notamment CLOUD Act américain). Factero structure cette documentation avec rigueur — c'est souvent le point critique des évaluations CSS.
Notre MSP ou notre hébergeur s'occupe de la sécurité. Avons-nous quand même besoin d'un regard externe ?
Parce que les CSS veulent voir ce que vous, fournisseur, faites — pas seulement ce que votre infrastructure infonuagique fait. Un hébergeur certifié SOC 2 ou ISO 27001 couvre la couche infrastructure : centres de données, gestion physique, sécurité du réseau sous-jacent. Mais la couche applicative (votre logiciel, vos contrôles d'accès utilisateur, votre gestion des données client) reste votre responsabilité — et c'est ce que le CSS évalue. Factero documente votre dispositif applicatif et organisationnel, en s'appuyant sur les certifications de votre hébergeur quand c'est pertinent (modèle de responsabilité partagée), sans confondre les deux niveaux. Nous n'avons aucun lien commercial avec votre hébergeur ou votre MSP : nous structurons la démarche, documentons la réalité, et laissons chacun à son rôle.
Quelle méthodologie utilisez-vous ?
Factero s'appuie sur les cadres provinciaux applicables — LGGRI, Directive sur la sécurité de l'information gouvernementale, Loi 25 — comme exigences réglementaires, complétés par ISO 27002 et le NIST Cybersecurity Framework (NIST-CSF) pour la structure technique du dispositif. Les pratiques de la FCSSQ et les cadres de gestion publiés par les CSS servent de référence pour calibrer le niveau de détail attendu. Le principal associé détient la certification CISA (Certified Information Systems Auditor) — la référence internationale en audit des systèmes d'information. La démarche est adaptée à la taille et au profil de chaque fournisseur : on ne construit pas le même dispositif pour un éditeur de 10 employés avec un seul produit et un éditeur de 100 employés avec une suite complète.
Est-ce que c'est confidentiel ?
Oui, chaque mandat d'accompagnement mené par Factero est encadré par un engagement de confidentialité formel en faveur du client, signé avant le début des travaux. Aucune information — architecture produit, code, données client, stratégie commerciale — n'est partagée avec un tiers, un fournisseur ou un partenaire sans votre autorisation écrite explicite, conformément à notre politique de protection des renseignements personnels et aux exigences de la Loi 25. Les éléments remis aux CSS clients le sont sous votre contrôle et avec votre validation.
Est-ce qu'on s'engage dans un suivi récurrent ?
Non. Le mandat se termine à la livraison du dispositif et l'accompagnement des premiers déploiements. Pour le maintien — veille sur l'évolution des cadres provinciaux, ajustement du dispositif face aux nouvelles exigences IA, préparation des renouvellements contractuels — certaines organisations préfèrent nous garder sur une cadence légère. D'autres internalisent. Notre charte d'indépendance interdit la création de dépendance artificielle.
Pourquoi Factero pour ce mandat — qu'est-ce qui vous différencie ?
Avant de signer avec un cabinet d'accompagnement, vérifiez quelques éléments fondamentaux. Un cabinet sérieux les démontre sans hésitation et par écrit. Cabinet lui-même certifiéFactero détient la certification CyberSécuritaire Canada (CAN/DGSI 104:2021 / Rev 1:2024), vérifiable publiquement au registre IAF CertSearch et via notre Trust Center. Nous appliquons à notre propre organisation les standards que nous accompagnons chez nos clients. Un cabinet qui vous accompagne vers une certification reconnue devrait, par cohérence, en détenir une lui-même. Entreprise incorporée et établie depuis 2022Factero Service Conseil est dûment incorporée au Registre des entreprises du Québec (REQ) depuis 2022, sans procédure d'insolvabilité ni de faillite. Le statut juridique de tout cabinet candidat se vérifie gratuitement au REQ ; les procédures d'insolvabilité et de faillite figurent au registre du Bureau du surintendant des faillites Canada (osb-bsf.ic.gc.ca). Équipe complète et continuité opérationnelleFactero s'appuie sur une équipe interdisciplinaire couvrant les technologies de l'information, les ressources humaines et la comptabilité — les trois dimensions qui se croisent dans la plupart des mandats de gouvernance. Un mandat de certification s'étend sur 6 à 18 mois ; le cabinet qui vous accompagne doit avoir la profondeur d'équipe pour tenir la distance, pas seulement la disponibilité d'une seule personne. Assurance responsabilité professionnelle et cyberassuranceFactero détient une couverture responsabilité professionnelle (E&O) et une cyberassurance actives, adaptées à ses activités de conseil en gouvernance TI et en cybersécurité. Un cabinet qui vous recommande une cyberassurance devrait, par cohérence, en détenir une lui-même. Demandez l'attestation avant de signer. Indépendance écrite et publique — Nos engagements sont encadrés par une Charte d'Indépendance publique qui interdit commissions, rétrocessions et arrangements commerciaux avec les fournisseurs, courtiers et marchés. Inscription aux marchés publicsFactero est inscrit au SEAO (Québec) et au Ontario Tenders Portal — démarche qui implique vérifications réglementaires et attestations fiscales à jour. Ces critères ne sont pas des arguments commerciaux. Ce sont les conditions minimales à demander à tout cabinet candidat. L'absence de réponse claire à l'une de ces questions est, en soi, une réponse.
Nos conseils restent indépendants. Consultez notre Charte d'indépendance.

Services complémentaires

Conformité Loi 25 Accompagnement ISO 27001 Accompagnement certification TGV Voir plus

Besoin d'avancer sur ce sujet ?

Discutons de votre situation spécifique. Sans engagement, juste des conseils d'expert.
Parler à un expert