Checklist Loi 25 pour PME: les actions prioritaires
Checklist pratique Loi 25 pour PME québécoises: inventaire des renseignements personnels, incidents, consentement, fournisseurs et gouvernance.
Problème
Votre PME doit se conformer à la Loi 25, mais personne ne sait quoi faire en premier.
Résultat attendu
Un plan de conformité en 30 jours, organisé par priorité opérationnelle.
Qu'est-ce que la Loi 25 pour une PME ?
La Loi 25 est une législation québécoise visant à moderniser la protection des renseignements personnels.
- Elle impose de nouvelles responsabilités aux entreprises.
- Elle oblige à nommer un responsable de la protection des données.
- Elle encadre la collecte et la destruction des informations.
Les risques de non-conformité
L'ignorance de la Loi 25 expose votre PME à des sanctions sévères et à une perte de confiance.
- Amendes pouvant atteindre 25 millions $ ou 4% du chiffre d'affaires mondial.
- Poursuites civiles de la part de clients ou d'employés.
- Atteinte à la réputation en cas de fuite de données non signalée.
Cartographier les renseignements personnels
La conformité commence par un inventaire clair des données collectées, stockées, partagées et supprimées.
- Listez les systèmes contenant des données clients et employés.
- Identifiez les données sensibles et leur lieu de stockage.
- Documentez les durées de conservation et les responsables.
Mettre en place le registre des incidents
La Loi 25 exige une capacité de détection, d’évaluation et de notification des incidents de confidentialité.
- Définissez ce qui constitue un incident de confidentialité.
- Créez un registre accessible aux responsables internes.
- Préparez les modèles d’avis à la CAI et aux personnes concernées.
Encadrer fournisseurs et outils IA
Les fournisseurs SaaS et outils d’IA peuvent exposer vos données si les contrats et usages ne sont pas contrôlés.
- Ajoutez des clauses de protection des données aux contrats.
- Interdisez les prompts contenant des renseignements personnels.
- Validez les lieux d’hébergement et sous-traitants critiques.
Questions fréquentes
La Loi 25 s’applique-t-elle aux petites entreprises?
Oui. Toute organisation qui détient des renseignements personnels au Québec doit appliquer des mesures de gouvernance proportionnées à ses risques.
Quel est le premier livrable à produire?
L’inventaire des renseignements personnels et des systèmes est le point de départ le plus utile pour prioriser les risques. Un inventaire des données est essentiel pour la conformité Loi 25.
Faut-il un responsable de la protection des renseignements personnels?
Oui. La fonction doit être attribuée clairement et visible dans votre gouvernance. Par défaut, c'est la plus haute autorité de l'entreprise.
Dois-je déclarer tous les incidents de confidentialité?
Non. Seuls les incidents présentant un risque de préjudice sérieux doivent être déclarés à la Commission d'accès à l'information (CAI).
Puis-je utiliser ChatGPT avec des données clients?
Non. Il est interdit d'utiliser des outils d'IA publics non sécurisés avec des renseignements personnels sous peine de violer la Loi 25.
Qu'est-ce qu'un renseignement personnel selon la Loi 25?
Un renseignement personnel est toute information qui permet d'identifier directement ou indirectement une personne physique.
Besoin d’un plan Loi 25 rapide?
Cybernow peut transformer cette checklist en plan d’action, politiques et registre prêts à utiliser.
Planifier un diagnostic