Plan d'action Loi 25 en 7 étapes pour une PME

Vous avez quinze priorités, deux employés à temps partiel et aucun budget « conformité » dédié ? Nous comprenons. Voici une feuille de route pragmatique pour démarrer ou consolider votre conformité Loi 25 — sans viser la perfection du premier jour.

Les 7 étapes

Choisissez votre budget en fonction du risque réel : un commerce local sans formulaire Web n'a pas les mêmes urgences qu'une PME qui vend en ligne et centralise des données santé dans un CRM.

1. Nommer le PRP et publier ses coordonnées (détails) — courriel surveillé, mandat écrit.
2. Inventorier les données — clients, employés, site Web, courriel, CRM, paie, infonuagique.
3. Cartographier les flux — qui collecte quoi, où c'est stocké, quels fournisseurs y accèdent.
4. Mettre à jour les politiques — interne (employés) et externe (site, clients), datées et compréhensibles.
5. Sécuriser l'accès — mots de passe, authentification multifacteur, sauvegardes, moindre privilège.
6. Former les équipes — hameçonnage, partage de fichiers, transferts hors Québec (formation).
7. Mesurer et réviser — incidents documentés, audits internes, scan du site après chaque changement majeur.

Documents minimaux à avoir

• Registre des incidents de confidentialité (même les « petits » événements).
• Registre des traitements ou inventaire équivalent (finalités, durées, tiers).
• Politique interne (employés, accès, appareils personnels si permis).
• Politique externe publiée sur le Web — voir modèle PME et incontournables Web.

Priorisation si vous êtes débordé

Ordre suggéré pour un impact rapide :

1. PRP publié + boîte courriel fonctionnelle pour les demandes.
2. Procédure d'incident écrite en une page (guide).
3. Politique Web + bannière cookies alignées avec la réalité (exigences CAI).
4. Clauses fournisseurs critiques (hébergeur, CRM, marketing) — voir sous-traitants.
5. EFVP seulement sur les projets à risque (EFVP).

Faire le point avant le plan : check-list express. Contexte général : Loi 25 en clair.

En bref

• Sept étapes : PRP, inventaire, flux, politiques, sécurité, formation, révision.
• Quatre documents minimaux : incidents, traitements, politique interne, politique Web.
• Si vous êtes débordé : PRP, incident, site public, fournisseurs critiques, puis EFVP ciblée.
• La conformité est un marathon documenté — pas un sprint du vendredi après-midi.

Références utiles

• CAI — Protection des renseignements personnels — guides et outils pour structurer votre programme.
• Loi P-39.1 (secteur privé) — texte de référence pour les obligations.
• Check-list express — auto-diagnostic oui/non en quelques minutes.

Ce texte est informatif et ne constitue pas un avis juridique. Pour une décision engageant votre organisation, consultez la CAI et un professionnel du droit.

Vérifier votre site Web

L'étape 7 inclut un scan après chaque refonte majeure — c'est souvent là que politique et réalité divergent. Notre analyse technique gratuite aide à repérer les écarts observables — elle complète, sans remplacer, votre programme de conformité.