Quels documents une PME doit-elle produire selon la Loi 25?

La Loi 25 impose plusieurs documents : une politique de confidentialité publiée, un registre des activités de traitement, un registre des incidents de confidentialité, des politiques internes de gestion des renseignements personnels, et une EFVP pour les projets qui l'exigent. Chacun doit être accessible, à jour et appliqué dans la pratique — pas seulement rédigé.

Quand faut-il un DPA avec un sous-traitant selon la Loi 25?

Une entente de protection des données (DPA) est requise dès qu'un sous-traitant traite des renseignements personnels pour le compte de votre organisation — hébergeur, CRM, comptable externe, service TI, fournisseur infonuagique. Le DPA précise les finalités autorisées, les mesures de sécurité, les obligations en cas d'incident et la restitution ou destruction des données en fin de contrat. Les transferts hors Québec exigent une évaluation préalable.

Qu'est-ce qu'une EFVP et quand doit-on en faire une?

Une Évaluation des Facteurs relatifs à la Vie Privée (EFVP) est une analyse documentée des risques PRP d'un projet. Elle est obligatoire avant toute communication de renseignements personnels hors du Québec, avant l'acquisition, le développement ou la refonte d'un système d'information impliquant des renseignements personnels, et pour les projets à traitement important ou sensible. Pour les cas simples, une EFVP proportionnée de quelques pages suffit.

Combien de temps conserver les renseignements personnels d'un client?

La Loi 25 exige une conservation limitée à la durée nécessaire aux finalités. En pratique, la durée est déterminée par l'organisation selon des justifications (obligations fiscales, garanties légales, exigences sectorielles). Une table de durées par catégorie de renseignements doit être documentée. Au-delà de la durée, les données doivent être détruites de façon sécurisée ou anonymisées.

Formation · Gouvernance PRP · 6 modules pratiques · Vidéoconférence
Conçue pour les dirigeants, RPRP et gestionnaires de PME québécoises

Formation Gouvernance PRP au Québec —
construire votre conformité Loi 25 étape par étape

Six modules pratiques pour mettre en place, document par document, la gouvernance PRP exigée par la Loi 25. Pas de théorie — des procédures concrètes, des modèles utilisables, et la logique pour tenir votre programme à jour.

Obtenir mon Analyse gouvernance PRP Découvrir le mandat RPRP externe →

Voir le format, la durée et le tarif ↓

Votre gouvernance est-elle prête?

Trois questions pour évaluer rapidement où vous en êtes.

Avez-vous une lettre de mandat RPRP formalisée par écrit?

Tenez-vous un registre à jour des activités de traitement et des incidents?

Vos sous-traitants qui traitent des renseignements personnels ont-ils signé un DPA?

Si vous avez répondu non à une ou plusieurs questions, l'Analyse gouvernance PRP identifie précisément où combler les lacunes.

Obtenir mon Analyse gouvernance PRP →

La réalité pour une PME québécoise

Aujourd'hui, la majorité des PME au Québec :

n'ont pas de gouvernance PRP structurée — juste des fragments ;
ont des documents incomplets ou inutilisables en cas de plainte ;
ne sauraient pas répondre à une demande de la CAI dans les délais attendus.

Le risque n'est pas théorique. Il est déjà présent dans la plupart des organisations — jusqu'au jour où une plainte arrive.

Une formation pratique — pas un cours théorique

La Formation Initiation PRP aux employés vous apprend à reconnaître les concepts de la Loi 25. Cette formation Gouvernance PRP vous apprend à construire la conformité, document par document, procédure par procédure.

Chaque module couvre un livrable concret exigé par la Loi 25 : comment le rédiger, quelles sections inclure, comment le publier, comment le maintenir à jour. Les six modules sont alignés sur les 9 dimensions évaluées par l'Analyse gouvernance PRP — vous sortez de la formation préparé à l'analyse.

Pour aller plus loin : une fois la conformité Loi 25 structurée, le guide Normes internationales (gouvernance) situe votre démarche par rapport à ISO 27001/27701, à la LPRPDE fédérale et aux régimes internationaux (RGPD, CCPA).

Aperçu pédagogique des six modules

Chaque module renvoie vers un guide pratique (comment construire) et une page sur les exigences légales applicables.

Module 1 · Mandat RPRP

Comment désigner un RPRP et lui donner les moyens d'agir?

Ce que vous apprenez :rédiger une lettre de mandat RPRP claire, définir responsabilités / temps / autorité / accès, publier les coordonnées de façon conforme.

📖 Guide — Rédiger le mandat du RPRP → ⚖️ Exigences légales de désignation →

Module 2 · Politique de confidentialité

Comment rédiger une politique de confidentialité conforme à la Loi 25?

Ce que vous apprenez :structurer les sections obligatoires, rédiger dans un langage clair, publier de façon accessible, définir un rythme de révision.

📖 Guide — Rédiger la politique → ⚖️ Exigences légales →

Module 3 · Registres

Comment tenir les registres obligatoires (traitements et incidents)?

Ce que vous apprenez :structure minimale des deux registres, colonnes obligatoires, rythme de tenue, responsabilités, comment démontrer la diligence.

📖 Guide — Tenir les registres → ⚖️ Exigences légales →

Module 4 · Conservation

Combien de temps conserver les données et comment les détruire?

Ce que vous apprenez :définir des durées justifiées par catégorie, construire une politique de conservation, mettre en place la destruction sécurisée, structurer la gestion des accès.

📖 Guide — Conservation et destruction → ⚖️ Exigences légales →

Module 5 · DPA sous-traitants

Sous-traitants et DPA — quand, pourquoi, comment démarrer?

Ce que vous apprenez :identifier les sous-traitants qui traitent des renseignements personnels, quand un DPA est requis, clauses minimales à inclure, bases d'une évaluation de transfert hors Québec.

📖 Guide — Identifier et encadrer → ⚖️ Exigences légales →

Module 6 · EFVP

EFVP — quand, pourquoi, comment démarrer?

Ce que vous apprenez :reconnaître les situations qui exigent une EFVP, comprendre l'objectif d'une EFVP, identifier les étapes de base, savoir quand faire appel à un expert.

📖 Guide — Démarrer une EFVP → ⚖️ Exigences légales →

Dans la majorité des PME québécoises…

⚠️

Un RPRP est parfois nommé sur papier — mais sans mandat formel, sans temps dédié, et sans autorité réelle pour agir.

⚠️

La politique de confidentialité existe, mais elle a été copiée d'un modèle générique — finalités vagues, durées absentes, droits non expliqués.

⚠️

Aucun registre des traitements ni des incidents n'existe — et personne ne sait par où commencer pour les construire.

Résultat : des documents partiels, une conformité apparente, et une fragilité réelle en cas d'incident ou d'enquête.

Avant / Après la formation

La transformation mentale que vous vivez en construisant votre gouvernance.

❌ Avant

Obligations Loi 25 floues
Documents incomplets ou copiés
Décisions improvisées dans les zones grises
Aucune structure claire pour répondre à la CAI
RPRP désigné sur papier sans moyens

✅ Après

Structure claire et documentée
Documents utilisables immédiatement
Décisions justifiables et traçables
Gouvernance compréhensible par un tiers (CAI, auditeur, client)
RPRP opérationnel avec mandat, temps et autorité

Cette formation est pour vous si…

Quatre indicateurs d'adéquation.

Vous êtes dirigeant, gestionnaire ou RPRP désigné d'une PME québécoise.
Votre organisation a commencé sa conformité Loi 25 sans structure claire — fragments de documents, pratiques informelles.
Vous avez des documents partiels (politique copiée, registre inexistant, mandat RPRP verbal) et vous savez qu'ils ne tiendraient pas en cas d'enquête.
Vous ne savez plus par où continuer — la loi vous paraît vaste et vous voulez une méthode de mise en place étape par étape.

La formation en pratique

Format

Vidéoconférence

Durée

1 heure

Public cible

Dirigeants, RPRP désignés, gestionnaires

Niveau

Intermédiaire — prérequis : Initiation PRP aux employés

Tarif

250 $ + taxes

Pour une équipe de 8 personnes : moins de 32 $ par personne

Mettre en contexte

Une formation complète de gouvernance PRP 250 $

Une ordonnance de la CAI pour défaut de gouvernance imprévisible

Une refonte d'urgence après incident évitable

Une heure de formation peut éviter des semaines de reconstitution.

Ce que vous construisez après cette formation :

Un mandat RPRP formalisé et publié
Une politique de confidentialité complète et accessible
Deux registres opérationnels (traitements + incidents)
Une politique de conservation et destruction documentée
Une démarche claire pour encadrer vos sous-traitants
Une méthode proportionnée pour réaliser vos EFVP

Demander un plan de formation sur mesure →

Pourquoi structurer votre gouvernance maintenant

⚖️

Les obligations sont en vigueur. Toutes les mesures de la Loi 25 sont applicables depuis septembre 2024 — l'absence de gouvernance structurée est un risque immédiat, pas théorique.

📋

La documentation est la preuve de diligence. En cas d'incident ou d'enquête de la CAI, c'est la présence et la qualité des documents qui fait la différence — pas les intentions.

🏗️

Construire coûte moins que corriger. Mettre en place une gouvernance claire d'emblée évite les mises à niveau urgentes après incident.

🤝

Vos partenaires commerciaux l'attendent. Donneurs d'ouvrage et clients d'affaires demandent de plus en plus une gouvernance PRP documentée avant de signer.

Pourquoi cette formation est différente

Formation gouvernance classique

Présente les concepts de la loi
Reste au niveau théorique
Expose les obligations sans les traduire
Laisse le RPRP seul face à la rédaction

Cette formation

Procédures pas-à-pas pour chaque document
Templates minimaux adaptables à une PME
Erreurs pratiques à éviter dans la construction
Alignée sur les 9 dimensions de l'Analyse gouvernance PRP

Après la formation, vous sortez avec des documents construits et une compréhension opérationnelle — pas avec une liste d'obligations à traduire.

Pourquoi structurer coûte moins que corriger

Le coût de la conformité n'est pas dans la formation — il est dans son absence.

Corriger après un incident coûte plus cher que prévenir — notifications, mobilisation interne, communications clients, mise à niveau d'urgence.
Structurer dès maintenant évite les urgences — la conformité construite progressivement s'intègre dans les opérations, elle ne les bloque pas.
Une gouvernance claire réduit le temps de gestion — chaque décision future prend moins de temps parce que la référence existe.

Le coût n'est pas la formation — c'est l'absence de structure qui se paie en temps, en stress, et en exposition juridique.

⚖️ Avis important — statut de la formation

Cette formation a pour but de guider les organisations dans la mise en place des meilleures pratiques en protection des renseignements personnels. Elle est fournie à titre informatif et pédagogique et ne constitue en aucun cas un conseil juridique ni un avis juridique formel. Pour les situations particulières — secteur réglementé, incident en cours, litige —, consultez un avocat spécialisé.

Prêt à construire votre gouvernance PRP?

Un échange de 20 minutes suffit pour définir le parcours adapté à votre PME — modules choisis, format des sessions, équipes à former.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP

Vous cherchez à confier le rôle de RPRP à un consultant externe?
Découvrir le mandat RPRP externe →

Kaven Chamberland — Consultant en protection des renseignements personnels, Loi 25 Québec

En résumé — Gouvernance PRP pour PME

La Loi 25 impose plusieurs livrables : politiques, registres, EFVP, ententes
Chaque livrable doit être construit, publié et maintenu — pas seulement rédigé
La formation couvre la construction concrète de chaque élément
Alignement direct avec les 9 dimensions de l'Analyse gouvernance PRP

Formation Gouvernance PRP — réponse rapide

Modules : 6 modules pratiques
Durée : 1 heure totale
Public : Dirigeants, RPRP, gestionnaires
Prérequis : Initiation PRP ou équivalent
Format : Vidéoconférence modulaire
Responsable : Kaven Chamberland, consultant Loi 25 Québec

Autres formations disponibles

Chaque formation couvre un aspect distinct de la conformité Loi 25.

Initiation PRP aux employés

Les sept concepts fondamentaux de la Loi 25 expliqués aux équipes — reconnaître un RP, comprendre les principes, savoir réagir.

Site web et conformité Loi 25

Politique de confidentialité, cookies, formulaires, hébergement hors Québec et outils tiers — ce que votre site doit respecter.

Numérique de base et protection des données

Inventaire des outils, gestion des accès, cybersécurité de base, IA responsable et évaluation des sous-traitants numériques.

Introduction aux principes ISO 27001

SMSI, relation avec la Loi 25, domaines de contrôle clés et chemin réaliste vers la certification pour une PME québécoise.

Questions fréquentes — Gouvernance PRP

Pour qui est cette formation ?

Pour les dirigeants, RPRP désignés et gestionnaires d'une PME québécoise qui doivent mettre en place la gouvernance Loi 25.

Quelle différence avec l'Initiation PRP ?

L'Initiation cible tous les employés (concepts de base). Gouvernance PRP cible les responsables qui doivent produire les documents et processus exigés par la Loi 25.

Quel est le prix ?

Le guide web est gratuit en accès libre. La formation animée en vidéoconférence est à 250 $. Le présentiel est sur devis.

Formation Gouvernance PRP au Québec —construire votre conformité Loi 25 étape par étape