Comment migrer depuis GoHighLevel ou HubSpot?

On s'en occupe. Notre equipe exporte vos contacts, deals, et historique, et les importe dans toncrm.io. La migration prend generalement 1-2 jours ouvrables.

Le support est-il en francais?

100%. Support par chat, email et telephone en francais quebecois. Pas de traduction Google, pas de bot anglophone. Des vrais humains.

Y a-t-il un contrat minimum?

Aucun engagement. Facturation mensuelle, annulable en tout temps en un clic depuis votre tableau de bord.

Est-ce que je peux garder mon numero de telephone actuel?

Oui. On transfere votre numero existant vers notre systeme de telephonie integre. Vos clients continuent d'appeler le meme numero.

Combien d'utilisateurs peuvent acceder au CRM?

Starter: 1 utilisateur. Pro: 5. Business: 15. Enterprise: illimite. Chaque utilisateur a son propre acces avec permissions configurables.

Les factures sont-elles compatibles avec QuickBooks?

Oui. Synchronisation bidirectionnelle avec QuickBooks Online. Les factures creees dans toncrm.io apparaissent automatiquement dans QBO avec les bons comptes TPS/TVQ.

toncrm.io remplace vraiment 20+ outils?

Oui. CRM, pipeline, facturation TPS/TVQ, signature electronique, booking, campagnes email, SMS, reseaux sociaux, workflows, IA vocale, gestion de projets, chat d'equipe, formulaires, reputation, et plus.

Le booking remplace vraiment Calendly?

Oui. Pages de reservation, synchronisation Google Calendar et Outlook, disponibilites par membre, rappels SMS automatiques, et paiement a la reservation.

Est-ce que je peux exporter mes donnees?

Oui, a tout moment. Export CSV complet de vos contacts, deals, factures et historique. Vos donnees vous appartiennent, sans restriction.

Le journal d'audit peut-il être modifié ou effacé?

Non. Les politiques RLS bloquent toute mise à jour et toute suppression (USING false), même pour un administrateur. Chaque action est enregistrée avec le diff par champ (ancienne valeur → nouvelle).

Qu'est-ce qui arrive si quelqu'un essaie de deviner un mot de passe?

Après 5 échecs en 15 minutes depuis une même IP, la connexion est bloquée 30 minutes. L'IP est hashée, jamais stockée en clair.

Puis-je utiliser une clé physique ou une passkey?

Oui — passkeys FIDO2 / WebAuthn réelles, en plus du 2FA TOTP et des 8 codes de récupération à usage unique. De quoi ne jamais te barrer dehors.

Avez-vous une certification SOC 2 ou ISO 27001?

Pas à ce jour, et la page Conformité l'affiche honnêtement. On documente nos politiques de sécurité, un SLA de patch mesuré et une EFVP en cours plutôt que d'afficher un badge qu'on n'a pas.

FIG 0.0 · SÉCURITÉ

Sécurité pis Loi 25,sans mentir.

2FA, clé physique, journal d'audit qu'on n'efface pas, liste d'IP, sessions, export SIEM, compteur breach 72h. Pis une page Conformité qui te dit ce qui est fait — pis ce qui ne l'est pas encore.

Essai gratuit 14 jours

Aucune carte de crédit requise.

FIG 0.1 · LE HUB

Toute ta posture de sécurité sur une seule page.

10 onglets, 7cartes de statut qui fetchent en direct. Pas un théâtre de badges verts : chaque carte dit l'état réel — ok, à surveiller, ou info.

Vue d'ensemble

7 cartes de posture, chacune en direct

2FA + récupération

TOTP, 8 codes single-use, passkeys

Sessions actives

Tes appareils, révocables un à un

Liste IP autorisée

Allow-list CIDR par organisation

Alertes connexion

« Ce n'était pas moi » en un clic

Conformité Loi 25

Le statut réel, sans badge cosmétique

Incidents

Compteur breach 72h art. 95

Export SIEM

CEF / JSON / syslog vers ton outil

Journal d'audit

Immutable, diff par champ

Sauvegarde

Corbeille réversible + export DB

FIG 0.2 · CE QUI EST FAIT · CE QUI NE L'EST PAS

On te dit ce qui est fait. Pis ce qui ne l'est pas.

La plupart des CRM SMB épinglent des badges qu'ils n'ont pas. Nous, la page Conformité affiche l'état réel. C'est exactement ce que la CAI veut voir.

Fait, en prod

2FA TOTP + 8 codes de récupération à usage unique
Passkeys FIDO2 / WebAuthn (clé physique réelle)
Journal d'audit immutable — RLS bloque update & delete
Protection brute-force : 5 essais, 30 min de pénalité
Liste blanche d'IP par CIDR, par organisation
Alertes de connexion + bouton « Ce n'était pas moi »
Sessions trackées, révocables (toutes sauf la courante)
Employé suspendu = sessions coupées par trigger DB
Export SIEM CEF / JSON / syslog (Splunk, Datadog…)
Compteur breach 72h câblé sur un cron (Loi 25 art. 95)
IP toujours hashée (sha256 + sel), jamais en clair
SLA de patch CVSS écrit : 7 / 30 / 90 jours, mesuré

Pas encore — on l'affiche

Chiffrement at-rest — feuille de route, on l'affiche
Certification SOC 2 / ISO 27001 — aucune à ce jour
EFVP Loi 25 — en cours, pas encore finalisée
Blocage géo-IP par pays — pas encore

Pourquoi on l'écrit :mentir une localisation ou un badge, c'est un risque légal sous la Loi 25. La vraie conformité passe par une EFVP documentée pis des transferts déclarés — pas par un autocollant vert.

FIG 0.3 · JOURNAL D'AUDIT

Un journal qu'on ne peut pas effacer.

Les règles de la base de données bloquent toute modification pis toute suppression du journal — même pour un admin compromis. Chaque action garde son diff par champ : qui, quand, depuis quelle IP (hashée), ancienne valeur → nouvelle. Deux sources fusionnées : entités modifiées + connexions/déconnexions.

vs les autres :un audit log modifiable, c'est un audit log inutile. Ici l'immutabilité est verrouillée au niveau base de données, pas juste « par convention ».

Deal modifié · par Marie-Claude · 14:32

Statut

QualifiéGagné

Montant

8 000 $12 000 $

Responsable

—Marie-Claude Roy

Verrouillé · 7 ans de rétention · export CSV

2FA TOTP

Code à 6 chiffres, app standard

Passkey FIDO2

Clé physique ou Face/Touch ID

8 codes de récupération

À usage unique, hashés, .txt téléchargeable

FIG 0.4 · ACCÈS

Trois filets pour ne jamais te barrer dehors.

2FA TOTP, passkey FIDO2 réelle (clé physique ou biométrie), pis 8 codes de récupération à usage unique. Tu peux forcer le 2FA par rôle: les routes sensibles (Sécurité, Facturation, Équipe, Intégrations, Admin) refusent l'accès sans deuxième facteur.

FIG 0.5 · LE PÉRIMÈTRE

Brute-force bloqué, IP filtrées, connexions surveillées.

Brute-force

5 essais en 15 min depuis une IP → blocage 30 min. L'IP hashée, jamais en clair, purgée après 7 jours.

Liste blanche d'IP

Allow-list par CIDR, par organisation. Anti-lockout : la page de config reste joignable même si tu te bloques toi-même.

« Ce n'était pas moi »

Nouvelle connexion d'un appareil inconnu → courriel + bouton. Un clic révoque la session pis réinitialise.

FIG 0.6 · SESSIONS

Un employé suspendu = déconnecté à la seconde.

Tu vois tous tes appareils connectés pis tu peux révoquer « toutes les autres sessions » d'un coup. Pis surtout : quand tu suspends un membre, un déclencheur de base de donnéescoupe instantanément ses sessions — pas d'attente que son jeton expire.

MacBook · MontréalCette session

iPhone · MontréalRévoquer

Windows · inconnuRévoquer

Incident · accès non autorisé

72h — le compteur tourne tout seul

Export SIEM · dernier flush : 142 events

FIG 0.7 · ENTERPRISE

Tes logs dans ton SIEM. Le breach 72h qui se compte seul.

Export SIEM par organisation au format CEF / JSON / syslog— branchable Splunk, Datadog ou Elastic sans dépendance externe. Pis un watchdog horaire qui alerte si un incident grave n'est pas notifié au régulateur dans les 72 h (Loi 25 art. 95).

vs les autres :l'export SIEM pis le suivi breach 72h sont rares en CRM SMB — d'habitude faut un add-on enterprise ou un outil tiers.

FIG 0.8 · LES DÉTAILS QUI COMPTENT

On patche dans un délai écrit, pas « bientôt ».

SLA de patch mesuré

Critique en 7 jours, élevé en 30, moyen en 90 — un cron le mesure, ce n'est pas une promesse molle.

IP jamais en clair

sha256 + sel sur toutes les tables sécurité. L'IP est de la donnée personnelle sous Loi 25 — on la hashe.

Rétention 7 ans

Journal d'audit conservé 7 ans par défaut (marge sur le minimum Loi 25), purgé ensuite par cron.

FIG 0.9 · QUESTIONS FRÉQUENTES

Tout sur la sécurité.

Non — l'infrastructure est en Union européenne et on le déclare ouvertement. Ce qui te rend conforme à la Loi 25, c'est l'EFVP, les transferts hors-Québec déclarés (art. 17) et le chiffrement en transit — pas une localisation au Canada.

Non. Les politiques de base de données bloquent toute mise à jour et toute suppression, même pour un administrateur. Chaque action garde son diff par champ : ancienne valeur barrée en rouge, nouvelle en vert.

5 échecs en 15 minutes depuis la même IP → connexion bloquée 30 minutes. L'IP est hashée, jamais en clair, et purgée automatiquement après 7 jours.

Oui — passkeys FIDO2 / WebAuthn réelles, en plus du 2FA et des 8 codes de récupération à usage unique. Trois filets pour ne jamais te barrer dehors.

Pas à ce jour, et la page Conformité l'affiche telle quelle. On documente nos politiques, un SLA de patch mesuré et une EFVP en cours plutôt que d'épingler un badge qu'on n'a pas.

Tu choisis les rôles obligés au 2FA dans les paramètres. Les routes sensibles (Sécurité, Facturation, Équipe, Intégrations, Admin) refusent l'accès sans 2FA pour ces rôles.

L'entrepreneur d'aujourd'hui

FIG 1.0 · COMMENCER

Verrouille ton CRM.

14 joursgratuits, aucune carte. Active le 2FA, ta liste d'IP pis ton journal d'audit en 5 minutes.