Version bêta — Contenu en cours de vérification

Ce guide Loi 25 est en cours de révision et peut contenir des inexactitudes. Ne l'utilisez pas seul pour prendre des décisions juridiques ou réglementaires. Pour toute décision à portée légale, consultez un avocat ou la Commission d'accès à l'information (CAI).

⚖️
Information juridique — pas un avisCe contenu est éducatif et général. Il ne constitue pas un avis juridique (art. 128, Loi sur le Barreau, RLRQ c. B-1) et ne qualifie pas votre situation particulière. Consultez un avocat ou la CAI pour toute décision.
CHAPITRE 11

Plan de mise en conformité par étapes

Feuille de route réaliste pour une PME qui part de zéro ou presque. Les durées se chevauchent — commencez par les actions à fort impact.

Phase 1 · 0–90 jours

Fondations et risques critiques

ActionResponsablePriorité
Désigner officiellement le RPRP (et déléguer par écrit si besoin)DirectionCritique
Publier les coordonnées du RPRP sur le site webMarketing / TICritique
Mettre en place le registre des incidentsRPRP / TICritique
Rédiger un plan de réponse aux incidents minimalTI / CISOCritique
Cartographier les données (inventaire de départ)TIÉlevée
Activer MFA et réviser les accès critiquesTIÉlevée
Lister les fournisseurs traitant des données personnellesRPRPÉlevée
Phase 2 · 3–6 mois

Politiques et processus

ActionResponsablePriorité
Rédiger la politique de gouvernance (interne)RPRPÉlevée
Publier la politique de confidentialité (sur le site web)RPRP / MarketingÉlevée
Revoir les formulaires et le consentement marketingMarketing / VentesÉlevée
Mettre à jour les contrats fournisseurs (clauses Loi 25)RPRP / JuridiqueÉlevée
Réaliser les ÉFVP des flux hors Québec prioritairesRPRP / TIÉlevée
Définir le calendrier de conservation/destructionRPRP / TIMoyenne
Mettre en place le processus de réponse aux droitsRPRP / Service clientMoyenne
Phase 3 · 6–12 mois

Maturité et amélioration continue

ActionResponsablePriorité
Déployer la formation de sensibilisation du personnelRPRP / RHÉlevée
Tester le plan de réponse aux incidents (simulation)CISOMoyenne
Renforcer chiffrement, journalisation, sauvegardesTI / CISOMoyenne
Mettre en place une revue annuelle des politiques et ÉFVPRPRPMoyenne
Documenter la conformité (preuves auditables)RPRPMoyenne
Évaluer l'adhésion à un cadre (NIST CSF, ISO 27001)CISOOptionnelle
Conseil de priorisation

Par où commencer si les ressources sont limitées?

Si vos ressources sont limitées, attaquez d'abord ce qui réduit le risque réel et le risque de sanction :

  • RPRP désigné formellement
  • Registre des incidents opérationnel
  • MFA activé sur les accès critiques
  • Politique de confidentialité publiée sur le site web

Ce sont les manquements les plus visibles, les plus facilement reprochables et ceux qui font l'objet des premières inspections de la CAI.

La conformité est un processus continu, pas un projet ponctuel. Documentez tout : en cas d'enquête, la preuve de diligence compte autant que la conformité parfaite.
← Volet technique — TIÉtudes de cas →