Check-list express : suis-je minimalement conforme à la Loi 25?

Avant de payer un audit complet, posez-vous quinze questions oui/non — cinq minutes, un café, et vous savez si vous êtes à la traîne, en progression ou déjà solide. Cochez mentalement ; invitez votre PRP et un conseiller au besoin.

Minimalement conforme, ce n'est pas « parfait » : c'est avoir les bases en place pour répondre aux clients, documenter les incidents et montrer de la diligence si la CAI pose des questions.

Les 15 questions

En pratique, chaque « non » est un levier d'action — pas une honte.

1. Un responsable PRP est-il désigné et ses coordonnées publiées ? (détails)
2. Avez-vous une politique de confidentialité publique à jour sur le site ?
3. Avez-vous une politique interne pour les employés ?
4. Tenez-vous un inventaire ou registre des traitements (qui, quoi, pourquoi) ?
5. Avez-vous un registre des incidents de confidentialité ?
6. Savez-vous comment réagir en cas de fuite de données ? (procédure)
7. Les demandes des clients (accès, rectification) ont-elles un processus ? (droits)
8. La bannière cookies reflète-t-elle la réalité du site ? (cookies)
9. Les formulaires (infolettre, contact) respectent-ils le consentement ? (consentement)
10. Les contrats fournisseurs clés (hébergeur, CRM) encadrent-ils les données ? (clauses)
11. Une EFVP est-elle faite pour les projets à risque ? (EFVP)
12. Les employés ont-ils reçu une formation de base ? (formation)
13. Des durées de conservation sont-elles définies ? (cycle de vie)
14. Pouvez-vous répondre à une demande de portabilité (export) ? (portabilité)
15. Avez-vous fait un scan technique récent du site public ? (lancer un scan)

Interpréter votre résultat

• 0 à 5 oui — À la traîne — Priorisez PRP, politique Web, registre d'incidents et procédure d'urgence. Ne repoussez pas : un courriel mal adressé peut devenir un incident.
• 6 à 11 oui — En progression — Comblez les trous (fournisseurs, formation, consentement) avec le plan en 7 étapes.
• 12 à 15 oui — Avancé — Maintenez : revue annuelle, scans après chaque refonte, EFVP sur les nouveaux projets.

Rappel calendrier des phases : étapes 2022, 2023 et 2024 (toutes en vigueur aujourd'hui).

En bref

Cette check-list ne remplace pas un programme complet, mais elle évite de naviguer à l'aveugle. Comptez vos oui, attaquez les non dans l'ordre du risque, puis consolidez avec le plan d'action et un scan du site.

Références utiles

• CAI — Protection des renseignements personnels — guides et obligations pour les organisations.
• Plan d'action en 7 étapes — feuille de route PME après le diagnostic.
• PME et OBNL : qui est visé — si vous vous demandez si la loi vous concerne vraiment.

Ce texte est informatif et ne constitue pas un avis juridique. Pour une décision engageant votre organisation, consultez la CAI et un professionnel du droit.

Vérifier votre site Web

Plusieurs points de cette liste se voient sur votre site public (politique, cookies, coordonnées du PRP). Notre analyse technique gratuite aide à repérer les écarts observables — elle complète, sans remplacer, votre programme de conformité.