Formation des employés : maillon faible ou bouclier Loi 25

Vous avez une politique de vingt pages — et un employé qui vient d'envoyer un export client sur Gmail parce que « c'était plus simple ». La Loi 25 ne se résume pas au papier. Vos équipes sont le bouclier le moins cher… ou le maillon qui casse tout.

En pratique : une formation de 45 minutes bien ciblée vaut mieux qu'un PowerPoint de trois heures que personne n'applique.

Thèmes minimaux à couvrir

Voici le noyau dur pour une PME québécoise — adaptez les exemples à votre secteur :

• Hameçonnage (phishing) — signaux d'alerte (expéditeur, urgence, pièce jointe); signalement au PRP ou à TI sans honte.
• Mots de passe et MFA — pas de réutilisation; voûte de mots de passe ou gestionnaire d'entreprise lorsque possible.
• Partage de documents — liens publics, anciennes versions sur SharePoint, « Répondre à tous » avec données sensibles.
• Transferts hors Québec — avant d'adopter un SaaS américain « gratuit », consulter le PRP.
• Appareils personnels (BYOD) — règles claires; perte ou vol de téléphone = alerte immédiate.

Fréquence et accueil des nouveaux

Prévoyez une session initiale de 30 à 60 minutes et un rappel annuel plus court (quinze minutes suffisent si c'est concret). Chaque nouvelle recrue reçoit la formation dans la première semaine, avant l'accès aux systèmes avec des renseignements personnels. Gardez une trace : signature, LMS, courriel de confirmation — la CAI demande parfois la preuve, pas seulement l'intention.

Mesurer l'efficacité (sans transformer ça en punition)

• Quiz court — cinq questions après la session; visez un taux de réussite élevé, pas un piège.
• Simulation d'hameçonnage — campagne annuelle; suivi individuel discret, pas humiliation en réunion.
• Signalements — comptez les alertes reçues à temps; c'est un indicateur positif.
• Audit des partages — revue ponctuelle des liens cloud ouverts par erreur.

En bref

Reliez la formation à votre plan d'action Loi 25 et à la procédure d'incident. Donnez aux employés un réflexe simple : en cas de doute, ils appellent le PRP — pas Google.

Références utiles

• CAI — Protection des renseignements personnels — sensibilisation et gouvernance.
• Plan d'action en 7 étapes — intégrer la formation à la feuille de route PME.
• Procédure d'incident — ce que les employés doivent signaler sans délai.

Ce texte est informatif et ne constitue pas un avis juridique. Pour une décision engageant votre organisation, consultez la CAI et un professionnel du droit.

Vérifier votre site Web

Plusieurs obligations de la Loi 25 se manifestent sur votre site public (politique, cookies, coordonnées du PRP). Notre analyse technique gratuite aide à repérer les écarts observables — elle complète, sans remplacer, votre programme de conformité.