Étape 1 : Nommer votre responsable (RPRP)
La première étape est de désigner officiellement un responsable de la protection des renseignements personnels. Par défaut, c'est le plus haut dirigeant de l'entreprise. Si vous souhaitez déléguer cette responsabilité, faites-le par écrit.
Action concrète
Publiez le nom et les coordonnées de votre RPRP sur votre site web. En savoir plus sur le rôle du RPRP.
Étape 2 : Cartographier vos données personnelles
Avant de protéger vos données, vous devez savoir quelles données vous possédez. Réalisez un inventaire complet :
- Quels renseignements personnels collectez-vous? (noms, courriels, données financières, etc.)
- Où sont-ils stockés? (CRM, fichiers Excel, courriel, cloud, etc.)
- Qui y a accès dans votre organisation?
- Sont-ils transférés à des tiers ou à l'extérieur du Québec?
- Combien de temps les conservez-vous?
Étape 3 : Rédiger votre politique de confidentialité
Votre politique doit être claire, accessible et complète. Elle doit décrire vos pratiques de collecte, d'utilisation et de conservation des données, ainsi que les droits des personnes concernées. Consultez notre guide pour rédiger une politique conforme.
Étape 4 : Mettre en place la gestion des incidents
Préparez-vous avant qu'un incident ne survienne :
- Créez un registre des incidents de confidentialité
- Définissez un processus clair pour évaluer la gravité d'un incident
- Préparez des gabarits de notification pour la CAI et les personnes touchées
- Identifiez les personnes clés à contacter en cas d'incident
Étape 5 : Réviser vos pratiques de consentement
Passez en revue tous vos points de collecte de données : formulaires web, inscriptions à l'infolettre, cookies, création de comptes clients, etc. Assurez-vous que le consentement est obtenu de manière conforme. Pour plus de détails, consultez notre article sur le consentement sous la Loi 25.
Étape 6 : Former vos employés
La formation est une obligation légale, pas une option. Chaque employé qui manipule des renseignements personnels doit comprendre ses responsabilités. Une formation efficace doit être adaptée au rôle de chaque personne, continue dans le temps et documentée.
Loi25Simple automatise cette étape : formation personnalisée par rôle, certificats nominatifs et formation continue via Slack, Teams ou courriel. Consultez notre page sur la formation des employés à la Loi 25.
Étape 7 : Documenter et maintenir votre conformité
La conformité n'est pas un projet ponctuel — c'est un processus continu. Documentez :
- Vos politiques et procédures internes
- Les EFVP réalisées
- Le registre des incidents
- Les preuves de formation (certificats, dates, contenus)
- Les demandes d'accès ou de rectification traitées
Erreurs courantes à éviter
Penser que la Loi 25 ne s'applique pas aux PME
La loi s'applique à TOUTES les entreprises, peu importe leur taille.
Copier-coller une politique de confidentialité générique
Votre politique doit refléter vos pratiques réelles, pas un modèle trouvé en ligne.
Former les employés une seule fois
La formation doit être continue. Une seule séance par année n'est pas suffisante pour maintenir la vigilance.
Négliger le registre des incidents
Même les incidents mineurs doivent être consignés. En cas de vérification, la CAI s'attend à voir un registre à jour.
Ignorer les sous-traitants
Si vous partagez des données avec des fournisseurs, vous devez vous assurer qu'ils respectent aussi la loi.