Menu Fermer
Trouver un professionnel du droit
Pour vos besoins spécifiques

Conformité à la Loi 25

Les entreprises faisant affaire au Québec doivent entreprendre des actions spécifiques afin de se conformer aux obligations de la Loi 25 en matière de protection des renseignements personnels.

Vous ne savez pas par où commencer? Je peux vous aider.

La Loi 25, qui a modifié en profondeur la Loi sur la protection des renseignements personnels dans le secteur privé, s’applique à toute personne qui exploite une entreprise au Québec, qu’elle soit à but lucratif ou non. Les nouvelles obligations échelonnées sur 3 ans sont désormais toutes en vigueur depuis le 22 septembre 2024. La Loi 25 prévoit des sanctions administratives et pénales en cas de non-conformité pouvant s’élever à 25 millions de dollars ou à 4 % du chiffre d’affaires mondial.

Si vous ne savez pas par où commencer votre mise en conformité, mon offre de services clé en main s’adresse à vous!

Phase 1

Vos obligations depuis le 22 septembre 2022

Responsable PRP

Nommer un responsable de la protection des renseignements personnels et publier ses coordonnées sur le site Internet de l’organisation (art. 3.1)

Se familiariser avec la Loi 25

Fournir une présentation en format PowerPoint et animer une formation sur la Loi 25 de 60 minutes via Teams (cette formation est destinée à l’équipe de direction de l’organisation et au Responsable PRP)

Nommer un responsable de la protection des renseignements personnels (Responsable PRP) et publier son titre et ses coordonnées sur le site Internet de l’organisation

Fournir un projet de délégation écrite et réviser le document final et le texte publié sur le site Internet de l’organisation

Connaître les obligations juridiques du Responsable PRP

Fournir la liste des obligations juridiques du Responsable PRP et les expliquer

Incidents de confidentialité

Diminuer les risques de préjudice, divulguer les incidents de confidentialité présentant un risque de préjudice sérieux à la CAI et aux personnes concernées et tenir un registre des incidents (art. 3.5 à 3.8)

Adopter une procédure de gestion des incidents de confidentialité impliquant un renseignement personnel (RP)

Fournir un modèle de procédure de gestion des incidents de confidentialité impliquant un RP, l’adapter au client et expliquer le contenu

Mettre en place un registre des incidents de confidentialité

Fournir un registre des incidents de confidentialité en format Excel et expliquer la méthodologie pour le compléter

Élaborer une grille d’évaluation pour déterminer si l’incident de confidentialité présente un risque de préjudice sérieux

Fournir une grille en format Excel pour évaluer le risque de préjudice sérieux d’un incident de confidentialité et expliquer la méthodologie pour la compléter

Phase 2

Vos obligations depuis le 22 septembre 2023

Politiques et pratiques de gouvernance

Adopter des politiques et pratiques de gouvernance des RP et publier de l’information détaillée à ce sujet sur le site Internet de l’organisation (art. 3.2)

Effectuer un inventaire des RP collectés, utilisés, communiqués, conservés et détruits par l’organisation et des mesures de sécurité en place

Fournir un registre des RP en format Excel et expliquer la méthodologie pour le compléter

Analyser les résultats de l’inventaire des RP

Analyser les résultats de l’inventaire et formuler des recommandations d’actions à entreprendre pour assurer la conformité

Élaborer un programme de gouvernance des RP

Fournir un modèle de programme de gouvernance des RP à mettre en place, l’adapter au client et l’expliquer

Adopter une politique sur la protection des RP destinée aux employés

Fournir un modèle de politique sur la protection des RP, l’adapter au client et l’expliquer

Adopter une directive sur la collecte, l’utilisation et la communication de RP destinée aux employés

Fournir un modèle de directive sur la collecte, l’utilisation et la communication de RP, l’adapter au client et l’expliquer

Adopter une directive sur la conservation et la destruction de RP destinée aux employés

Fournir un modèle de directive sur la conservation et la destruction de RP (incluant un calendrier de conservation), l’adapter au client et l’expliquer

Adopter une directive relative aux mesures de sécurité physiques, techniques et organisationnelles des RP destinée aux employés

Fournir un modèle de directive relative aux mesures de sécurité physiques, techniques et organisationnelles des RP (incluant un programme de sécurité), l’adapter au client et l’expliquer

Adopter une procédure sur la gestion des demandes et des plaintes relatives aux RP

Fournir un modèle de procédure sur la gestion des demandes et des plaintes relatives aux RP, l’adapter au client et l’expliquer

Publier une politique de confidentialité en langage clair pour les RP recueillis via le site Internet de l’organisation

Fournir un modèle de politique de confidentialité pour le site Internet, l’adapter au client et l’expliquer

Publier un résumé des politiques et pratiques de gouvernance des RP sur le site Internet de l’organisation

Rédiger le résumé des politiques et pratiques à être publié sur le site Internet

Réviser les formulaires de collecte de RP de l’organisation pour les rendre conformes
  • Fournir un projet depolitique de confidentialité pour les RP des employés, l’adapter au client et l’expliquer
  • Formuler desrecommandations pour modifier les formulaires de collecte auprès des clients et fournisseurs non incorporés
Former et sensibiliser les employés sur la protection des RP

Fournir une présentation en format PowerPoint et animer une formation sur la protection des RP de 60 minutes via Teams

Communication de RP à un tiers

Conclure une entente écrite pour le traitement de RP par un tiers ou la communication de RP hors Québec (art. 18.3 et 17)

Rédiger une annexe à joindre à un contrat de service pour assurer la protection des RP communiqués à un tiers

Fournir un modèle d’annexe contractuelle (français et anglais) et l’expliquer

Rédiger une convention de traitement des données pour les RP traités par un tiers

Fournir un modèle de convention de traitement des données (français et anglais), l’adapter au client et l’expliquer

Évaluation des facteurs relatifs à la vie privée

Procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) pour certains projets impliquant des RP et pour la communication de RP hors Québec (art. 3.3, 17 et 21)

Élaborer une grille d’évaluation des facteurs relatifs à la vie privée et un gabarit de rapport
  • Fournir unguide et une grille d’évaluation en format Excel qui sert de rapport EFVP
  • Fournir uneprésentation en format PowerPoint et animer une formation sur les EFVP de 60 minutes via Teams