La Loi 25 s'applique à votre entreprise. Êtes-vous conforme?
Dès que vous détenez une liste de clients ou des dossiers d'employés, la Loi 25 s'applique — peu importe votre taille. On met en place ce que la loi exige, documenté proprement, sans bureaucratie inutile.
- Réponse sous un jour ouvrable
- Échange confidentiel, sans engagement
- Recommandations adaptées à votre réalité
Les obligations sont en vigueur. Voici les principales.
Ce que la Loi 25 exige de toute entreprise qui détient des renseignements personnels — et ce qu'on met en place avec vous.
Responsable de la protection des renseignements personnels
Désigné et publié sur votre site. On rédige le mandat et la mention.
Registre des incidents de confidentialité
Obligatoire, même vide. On fournit le registre et la procédure de tenue.
Politiques et pratiques de gouvernance
Encadrement du cycle de vie des renseignements personnels, publié en langage clair. On rédige des politiques à votre mesure, pas un gabarit de 60 pages.
Évaluation des facteurs relatifs à la vie privée (EFVP)
Requise quand un projet touche des renseignements personnels — par exemple un nouveau logiciel ou des données hébergées hors Québec. On la réalise avec vous.
Consentement et transparence
Bannière de témoins, formulaires, mentions d'information. On corrige votre site et vos formulaires.
Notification des incidents
En cas de fuite de données à risque sérieux, la loi vous oblige à aviser l'organisme de surveillance du Québec (la Commission d'accès à l'information) et les personnes touchées. On prépare le plan de réponse avant que ça arrive.
Les sanctions administratives peuvent atteindre 10 M$ ou 2 % du chiffre d'affaires mondial; les infractions pénales, 25 M$ ou 4 %. Pour une PME, le vrai risque au quotidien reste l'incident mal géré : perte de confiance des clients et interruption des opérations.
Quatre étapes, un échéancier clair
« Des gens d'infrastructure, pas des vendeurs de rapports. La conformité documentaire et les mesures techniques qui la soutiennent, par la même équipe. »
La Loi 25 exige des mesures de sécurité proportionnées à la sensibilité des renseignements : authentification multifacteur, sauvegardes testées, contrôle des accès. C'est notre métier d'origine — la documentation s'appuie sur du réel, pas l'inverse.
- 1DiagnosticOù vous en êtes par rapport aux obligations. Liste courte, priorisée et chiffrée.
- 2Mise à niveau documentaireResponsable désigné, registre, politiques, mentions.
- 3Mesures techniquesMFA, sauvegardes testées, contrôle des accès — proportionnées à votre réalité.
- 4MaintienRevue périodique, EFVP au fil des projets, mise à jour du registre.
Ce que les PME nous demandent sur la Loi 25
La Loi 25 s'applique-t-elle vraiment à une entreprise de 5 employés?
Oui. La loi ne prévoit aucun seuil de taille. Elle s'applique à toute entreprise qui recueille, détient ou utilise des renseignements personnels au Québec — une liste de clients ou des dossiers d'employés suffisent.
Combien de temps prend une mise en conformité de base?
Pour une PME typique, la base — responsable désigné, registre des incidents, politiques — se met en place en quelques semaines. Le diagnostic initial vous donne un échéancier précis.
Qu'est-ce que le premier échange comprend?
Un appel de 30 minutes pour situer vos écarts principaux par rapport aux obligations. Ce n'est pas un audit : le diagnostic complet fait l'objet d'un mandat chiffré à l'avance. Vous repartez avec l'heure juste, sans engagement.
Parlons de votre conformité.
Une question, un doute, une lettre du gouvernement au sujet des renseignements personnels? Écrivez-nous. Le premier échange — 30 minutes — se fait sans engagement.
Réserver mon premier échange