Checklist Loi 25 pour PME: les actions prioritaires
Checklist pratique Loi 25 pour PME québécoises: inventaire des renseignements personnels, incidents, consentement, fournisseurs et gouvernance.
Problème
Votre PME doit se conformer à la Loi 25, mais personne ne sait quoi faire en premier.
Résultat attendu
Un plan de conformité en 30 jours, organisé par priorité opérationnelle.
Cartographier les renseignements personnels
La conformité commence par un inventaire clair des données collectées, stockées, partagées et supprimées.
- Listez les systèmes contenant des données clients et employés.
- Identifiez les données sensibles et leur lieu de stockage.
- Documentez les durées de conservation et les responsables.
Mettre en place le registre des incidents
La Loi 25 exige une capacité de détection, d’évaluation et de notification des incidents de confidentialité.
- Définissez ce qui constitue un incident de confidentialité.
- Créez un registre accessible aux responsables internes.
- Préparez les modèles d’avis à la CAI et aux personnes concernées.
Encadrer fournisseurs et outils IA
Les fournisseurs SaaS et outils d’IA peuvent exposer vos données si les contrats et usages ne sont pas contrôlés.
- Ajoutez des clauses de protection des données aux contrats.
- Interdisez les prompts contenant des renseignements personnels.
- Validez les lieux d’hébergement et sous-traitants critiques.
Questions fréquentes
La Loi 25 s’applique-t-elle aux petites entreprises?
Oui. Toute organisation qui détient des renseignements personnels au Québec doit appliquer des mesures de gouvernance proportionnées à ses risques.
Quel est le premier livrable à produire?
L’inventaire des renseignements personnels et des systèmes est le point de départ le plus utile pour prioriser les risques.
Faut-il un responsable de la protection des renseignements personnels?
Oui. La fonction doit être attribuée clairement et visible dans votre gouvernance.
Besoin d’un plan Loi 25 rapide?
Cybernow peut transformer cette checklist en plan d’action, politiques et registre prêts à utiliser.
Planifier un diagnostic