Conformité Québec
Loi 25 : on vous y emmène, sans douleur.
Cabinets professionnels, organismes publics, PME : la mise en conformité Loi 25 ne doit pas devenir un projet de 6 mois. Notre approche pragmatique combine évaluation, outillage Microsoft et accompagnement humain.
Évaluation Loi 25 gratuite.
Échange avec un expert io4 · grille des 11 points validée · plan d'action priorisé rapidement.
Évaluation de conformité
Analyse de l'écart par rapport aux exigences de la Loi 25, désignation du RPRP, cartographie des renseignements personnels.
Politique, registres et droits
Politique de confidentialité, registre des traitements, registre des incidents CAI-ready, procédures d'accès, rectification, portabilité (sept. 2024) et droit à l'oubli.
Microsoft Purview & Defender
Classification des données, prévention de fuite (DLP), chiffrement, audit et gouvernance des accès. Évaluation des transferts hors-Québec.
Hébergement Canada
Configuration de la résidence des données dans les régions Microsoft canadiennes (Canada Central / Canada Est). Sous-traitants évalués.
Décisions automatisées & IA
Conformité de Copilot et des agents IA avec l'article 12.1 de la Loi 25 : information aux personnes concernées, audit des biais, gouvernance Purview pour éviter le sur-partage.
Les 11 points à valider en 2026.
La grille que nous utilisons pour évaluer chacun de nos clients québécois. Si un de ces points n'est pas en place, c'est par là qu'on commence.
- 01Désignation d'un responsable de la protection des renseignements personnels (RPRP)
- 02Politique de confidentialité publique conforme et accessible
- 03Évaluation des facteurs relatifs à la vie privée (EFVP) pour les nouveaux projets
- 04Registre des incidents de confidentialité (CAI-ready)
- 05Procédure de demande d'accès et de rectification
- 06Droit à la portabilité des données (obligatoire depuis sept. 2024)
- 07Cartographie des flux de données et évaluation des transferts hors-Québec
- 08Gestion des consentements explicites et finalités précises
- 09Information sur les décisions automatisées et l'usage de l'IA (art. 12.1)
- 10Plan de notification CAI et personnes concernées en cas d'incident
- 11Formation et sensibilisation continues des équipes
La conformité Loi 25 est incluse dans nos paliers io4 SOC.
Si vous cherchez un programme sécurité 24/7 qui inclut la conformité Loi 25 documentée et les notifications CAI prêtes à signer, nos paliers io4 SOC l'intègrent dès le palier Géré.
Questions fréquentes
Questions fréquentes sur la Loi 25.
Vous ne trouvez pas votre réponse ? écrivez-nous.
Toute organisation opérant au Québec qui collecte, utilise ou conserve des renseignements personnels : PME, OBNL, professionnels (CPA, avocats, notaires, médecins), municipalités, organismes publics, établissements de santé. Les obligations sont graduées selon la taille et la sensibilité des données, mais aucune organisation n'est exemptée.
Désigner un responsable de la protection des renseignements personnels (RPRP), publier une politique de confidentialité conforme, tenir un registre des traitements et des incidents, réaliser des évaluations des facteurs relatifs à la vie privée (EFVP), évaluer les transferts hors-Québec, permettre la portabilité des données (depuis sept. 2024), informer les personnes concernées des décisions automatisées (article 12.1) et notifier la CAI en cas d'incident.
Trois niveaux de risque cumulables : (1) Sanctions administratives jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial, imposées par la CAI sans procès. (2) Sanctions pénales jusqu'à 25 M$ ou 4 % du CA mondial pour les infractions plus graves. (3) Recours civils privés (art. 93.1) depuis sept. 2023 : toute personne lésée peut désormais poursuivre directement votre organisation, avec dommages punitifs d'au moins 1 000 $. Pour une PME québécoise, un incident mal géré peut coûter plusieurs centaines de milliers de dollars.
L'article 12.1 oblige toute organisation utilisant un système de décision exclusivement automatisé à en informer la personne concernée. Microsoft 365 Copilot et les agents IA tombent sous cette obligation dès qu'ils influencent une décision sur un employé, un client ou un fournisseur. De plus, le déploiement Copilot révèle souvent des situations de sur-partage SharePoint/Teams qui constituent en eux-mêmes des violations potentielles de la Loi 25. C'est pourquoi nous combinons toujours un audit oversharing avec le déploiement Copilot.
La Loi 25 du Québec est en vigueur depuis 2022-2024 (par phases). La Loi C-27 fédérale (LPVPC) reste au stade législatif et viendra remplacer la LPRPDE quand elle sera adoptée. Le RGPD européen s'applique si vous traitez des données de résidents européens. La Loi 25 est inspirée du RGPD mais plus stricte sur la résidence des données et les transferts hors-Québec. Pour une organisation québécoise multinationale, nous documentons une conformité unifiée qui satisfait les 3 régimes.
Pour une PME : 4 à 8 semaines avec notre méthodologie. Pour un cabinet professionnel : 6 à 10 semaines. Pour un organisme public ou un CIUSSS : 12 à 20 semaines selon la complexité et le nombre de systèmes. Nous livrons systématiquement : registre des traitements, politique de confidentialité, EFVP-types, procédures internes, formation du RPRP et des équipes, et plan d'audit annuel.
30 minutes pour cadrer ce qui compte.
Un échange direct avec un de nos experts. Sans engagement, sans pitch commercial. Vous repartez avec un point de vue argumenté sur votre situation.
