Version bêta — Contenu en cours de vérification

Ce guide Loi 25 est en cours de révision et peut contenir des inexactitudes. Ne l'utilisez pas seul pour prendre des décisions juridiques ou réglementaires. Pour toute décision à portée légale, consultez un avocat ou la Commission d'accès à l'information (CAI).

⚖️
Information juridique — pas un avisCe contenu est éducatif et général. Il ne constitue pas un avis juridique (art. 128, Loi sur le Barreau, RLRQ c. B-1) et ne qualifie pas votre situation particulière. Consultez un avocat ou la CAI pour toute décision.
CHAPITRE 12

Études de cas québécoises

5 scénarios fictifs mais réalistes illustrant des situations typiques de PME québécoises. Toute ressemblance avec une organisation réelle serait fortuite.

Cas 1 · Commerce de détail
Boutique en ligne de la Rive-Sud — Shopify, 12 000 clients, données hors Québec

Situation : « Mode Boréale », un commerce de Longueuil avec une boutique en ligne Shopify, recueille noms, adresses, courriels et historiques d'achats de 12 000 clients. Données hébergées hors Québec.

Problèmes identifiés : Aucune politique de confidentialité claire, consentement marketing noyé dans les conditions générales, aucune ÉFVP pour l'hébergement hors Québec.

Ce qu'ils ont fait :

  • Désigné la copropriétaire comme RPRP, publié ses coordonnées sur le site
  • Réécrit une politique de confidentialité simple, ajouté une case de consentement marketing distincte
  • Réalisé une ÉFVP sur l'hébergement Shopify et mis à jour l'entente fournisseur
  • Mis en place un calendrier de conservation (purge des comptes inactifs depuis 3 ans)
💡 Leçon : La conformité d'un petit commerce repose surtout sur des gestes simples mais documentés, pas sur des outils coûteux.
Cas 2 · Données sensibles de santé
Clinique privée de physiothérapie — portable volé

Situation : Une clinique détient des données de santé (renseignements sensibles exigeant une protection renforcée).

Incident : Un ordinateur portable non chiffré contenant des dossiers de patients est volé dans un véhicule.

Réaction conforme :

  • Incident consigné au registre dès la découverte
  • Évaluation : données sensibles + risque de fraude = risque de préjudice sérieux confirmé
  • CAI avisée dans les 72 heures, patients avisés avec conseils de vigilance
  • Mesures correctives : chiffrement de tous les portables, politique de non-stockage local
💡 Leçon : Un portable chiffré volé ne déclenche généralement pas le même niveau de risque. Le chiffrement transforme souvent un incident grave en non-événement.
Cas 3 · OBNL · Ressources limitées
Organisme communautaire de Montréal — budget serré

Situation : Un OBNL gère les données de donateurs et de bénéficiaires avec un personnel réduit et un budget serré.

Défi : « On n'a pas les moyens d'un service de conformité. »

Solution proportionnée :

  • Le directeur général devient RPRP par défaut, appuyé par un bénévole compétent
  • Utilisation de gabarits gratuits (CAI, organismes sectoriels) pour les politiques et le registre
  • Priorisation : registre d'incidents, MFA sur les comptes infonuagiques, politique de confidentialité
💡 Leçon : La loi est proportionnée. Faire l'essentiel, bien documenté, vaut mieux que viser la perfection et ne rien faire.
Cas 4 · Services professionnels
Cabinet de courtage immobilier — données financières sensibles

Situation : Un cabinet de courtage détient des renseignements financiers détaillés : revenus, dettes, pièces d'identité de clients.

Risques : Surcollecte (on demande plus que nécessaire), conservation indéfinie, partage avec des partenaires sans encadrement contractuel.

Mise en conformité :

  • Minimisation : ne demander que les pièces nécessaires à chaque dossier
  • ÉFVP sur les outils CRM et les partenaires prêteurs
  • Contrats mis à jour avec les partenaires (clauses de sous-traitance Loi 25)
  • Conservation limitée et destruction sécurisée après la durée légale requise
💡 Leçon : Dans les services professionnels, le risque principal est la surcollecte et la conservation excessive. Demandez-vous toujours : « Ai-je vraiment besoin de cette donnée? »
Cas 5 · Manufacturier · Cyberattaque
Manufacturier de 80 employés — rançongiciel sur les serveurs RH

Situation : Un manufacturier détient des données RH (paie, dossiers médicaux d'invalidité) et subit une attaque par rançongiciel chiffrant ses serveurs.

Réaction :

  • Confinement immédiat : isolement des systèmes, activation du plan de réponse
  • Consignation au registre, évaluation du risque (données RH sensibles exposées) → préjudice sérieux confirmé
  • Notification CAI + employés concernés, offre de surveillance de crédit
  • Restauration à partir de sauvegardes hors ligne non touchées par l'attaque
  • Post-mortem : MFA généralisé, segmentation réseau, formation anti-hameçonnage
💡 Leçon : Le plan de réponse aux incidents et les sauvegardes hors ligne font la différence entre une crise gérée et une catastrophe. Sans eux : pas de registre, pas de plan, pas de sauvegardes = 3 manquements immédiats à la Loi 25 en plus du rançongiciel.

Leçons transversales

  • Le chiffrement et les sauvegardes hors ligne réduisent radicalement l'impact des incidents
  • La minimisation des données limite l'exposition en cas d'incident
  • La proportionnalité protège les petites structures : faire l'essentiel suffit souvent
  • La documentation de vos démarches démontre la diligence en cas d'enquête
← Plan de conformitéGabarits prêts à l'emploi →