Formation Numérique · Module 1 · Guide pratique
L'inventaire avant tout — la première mesure préventive CAI

Quels outils numériques votre organisation utilise-t-elle vraiment?

La majorité des dirigeants connaissent les outils officiels — mais ignorent les abonnements gratuits non déclarés, les comptes personnels utilisés au travail, les appareils BYOD avec des données d'entreprise. Sans cartographie complète, votre conformité Loi 25 et votre cybersécurité reposent sur ce que vous ignorez.

Analyser mon infrastructure numérique Planifier l'accompagnement →

En janvier 2026, la Commission d'accès à l'information a publié des lignes directrices sur la prévention des incidents de confidentialité. La première mesure recommandée n'est pas technique : c'est « inventorier les renseignements personnels détenus et évaluer leur sensibilité ». Pourquoi cette priorité? Parce que la majorité des PME ne savent pas exactement quels outils numériques sont actifs dans leur organisation — et donc ne peuvent pas appliquer de mesures proportionnées de protection.

Applicable à tout environnement numérique. Les exemples illustrent une PME utilisant Microsoft 365 ou Google Workspace, mais les principes s'appliquent à tout environnement — Mac, Windows, Linux, sur site, cloud public, hybride. La méthodologie d'inventaire est indépendante de la stack technique.

Définition

La cartographie numérique est l'inventaire structuré de tous les outils, appareils et services utilisés par l'organisation pour traiter des renseignements personnels — incluant les outils non officiels (shadow IT) et les appareils personnels (BYOD) sur lesquels transitent des données professionnelles.

Les six catégories à inventorier dans une PME typique

1. Postes de travail et appareils

Ordinateurs portables et de bureau, téléphones d'entreprise, tablettes, imprimantes réseau, NAS local. Inclure aussi les imprimantes intelligentes qui stockent des copies des documents imprimés.

2. Outils SaaS officiels

Suite bureautique (Microsoft 365, Google Workspace), CRM (HubSpot, Salesforce, Pipedrive), comptabilité (QuickBooks, Sage), gestion de projet (Asana, Trello, Monday), partage de fichiers (Dropbox, OneDrive, Google Drive), facturation, paie.

3. Outils SaaS gratuits non documentés (shadow IT)

Canva gratuit, Trello personnel, Google Docs personnel, Notion personnel, ChatGPT gratuit, traduction en ligne, OCR gratuit. Souvent invisibles à la direction — découverts seulement via les relevés bancaires (abonnements payés sur cartes corporatives) ou un scan technique.

4. BYOD (Bring Your Own Device)

Téléphones personnels qui reçoivent les courriels d'entreprise, ordinateurs personnels en télétravail, clés USB personnelles utilisées pour transporter des fichiers, comptes courriel personnels qui forwardent des messages professionnels.

5. Comptes administrateurs et accès partagés

Admin Wi-Fi, admin domaine, admin Stripe, admin réseaux sociaux, admin hébergeur web. Souvent partagés entre plusieurs personnes ou rattachés à une adresse courriel personnelle d'un ancien employé encore active.

6. Technologies d'identification ou de profilage

Vidéosurveillance, biométrie (lecteurs d'empreintes), géolocalisation de flotte, télémétrie d'application. Déclencheur direct de l'article 8.1 — information préalable obligatoire et activation par la personne.

Ce que ça veut dire concrètement

Sans cartographie complète :

Le registre des activités de traitement (article 3.2) ne peut pas être complet — il omet ce que vous ne savez pas.
Les mesures de sécurité (article 10) ne peuvent pas être proportionnées — vous protégez ce que vous voyez, pas ce qui circule réellement.
Une EFVP (article 3.3) avant un nouveau projet repose sur une compréhension partielle de l'environnement existant.

Ce que ça signifie concrètement pour un dirigeant

Plus de 80 % des employés utilisent des outils numériques sans approbation formelle de la direction (étude largement citée dans la littérature francophone).
Plus de 40 % des dépenses cloud des entreprises échappent au contrôle officiel (Gartner 2024) — abonnements payés sur cartes corporatives sans inscription au registre.
21 % des cyberattaques trouvent leur origine dans des ressources IT non autorisées (shadow IT). Les PME sans DSI sont plus exposées.

L'environnement numérique que vous connaissez n'est pas l'environnement numérique que vous opérez.

🎯 Diagnostic rapide : maîtrisez-vous votre environnement numérique?

Trois questions, à vérifier sans aide technique :

Pouvez-vous lister, aujourd'hui, tous les outils SaaS payés sur les cartes corporatives de votre organisation, sans consulter les relevés bancaires?
Savez-vous combien d'employés synchronisent les courriels professionnels sur leur téléphone personnel?
Pouvez-vous nommer chaque administrateur (Wi-Fi, domaine, hébergeur, Stripe, réseaux sociaux) et son adresse courriel actuelle?

Si une seule réponse est incomplète, votre cartographie est partielle — et votre conformité aussi.

Dans la réalité des PME québécoises

📋 Liste informelle, jamais à jour. La direction a une idée des outils principaux, mais aucun document à jour ne liste systématiquement tout ce qui est actif. Les nouveaux outils s'ajoutent sans déclaration.

💳 Shadow IT révélé par les cartes corporatives. Quand on commence l'inventaire en croisant avec les relevés bancaires, on découvre 5 à 15 abonnements SaaS qui n'étaient pas connus de la direction.

📱 BYOD non encadré. Les employés synchronisent les courriels et fichiers professionnels sur leurs téléphones personnels — sans politique d'effacement à distance, sans MFA forcé.

Cas réel simplifié

Une PME de 25 employés entreprend une analyse numérique avant de répondre à un appel d'offres gouvernemental qui exige une preuve de cartographie.

Découvertes lors de l'inventaire :

14 abonnements SaaS payés sur cartes corporatives — seulement 6 étaient connus formellement
3 anciens employés ont encore des comptes actifs sur le CRM
2 comptes administrateurs sont rattachés à des adresses courriel personnelles d'anciens dirigeants
Aucun BYOD recensé — alors que 18 employés sur 25 reçoivent les courriels sur leur téléphone personnel
Une caméra de surveillance entrée intelligente connectée à un service tiers américain — non répertoriée

Conséquence :

L'appel d'offres est mis en attente — l'organisation doit produire un inventaire complet
3 outils tiers découverts ne sont pas couverts par DPA — non-conformité art. 17
La caméra de surveillance enclenche l'application de l'article 8.1 (technologie d'identification) sans information préalable

L'inventaire ne crée pas le risque — il le rend visible.

Quatre croyances erronées sur la cartographie numérique

« On a une bonne idée de ce qu'on utilise. » Faux. L'écart entre la liste mentale de la direction et la réalité technique est en moyenne de 40 % en PME (croisement Gartner + études shadow IT).
« Le shadow IT, c'est uniquement les outils gratuits. » Faux. Beaucoup d'abonnements SaaS payés (Canva Pro, Grammarly, ChatGPT Plus) sont des achats individuels via cartes corporatives sans déclaration ni encadrement.
« Le BYOD ne fait pas partie de la cartographie. » Faux. Tout appareil sur lequel transitent des renseignements personnels professionnels est dans le périmètre — incluant les téléphones personnels qui reçoivent les courriels.
« On fera l'inventaire quand on en aura besoin. » Faux. La CAI a placé l'inventaire en première position de ses lignes directrices 2026 sur la prévention. Ne pas l'avoir, c'est ne pas avoir mis en place les premières mesures préventives recommandées.

Vous ne pouvez pas gérer ce que vous ne connaissez pas.

Sans inventaire / Avec inventaire

✗ Sans inventaire

Registre des traitements partiel par construction
Shadow IT accumulé sans cadre
BYOD invisible aux mesures de sécurité
Anciens employés encore actifs dans certains systèmes
Mesures de sécurité disproportionnées au risque réel

✓ Avec inventaire

Registre complet alimenté par la cartographie
Shadow IT identifié et arbitré (intégré ou retiré)
BYOD encadré par politique et MFA
Procédure de révocation documentée et appliquée
Mesures de sécurité priorisées sur les vrais risques

Ce que la Loi 25 et les standards impliquent

Article 3.2 — politiques et pratiques de gouvernance encadrant la conservation, destruction, rôles. Suppose de connaître ce qu'on possède.
Article 3.3 — EFVP avant tout projet d'acquisition ou de refonte de système. Suppose un inventaire des systèmes existants.
Article 8.1 — technologies d'identification, localisation, profilage : information préalable + activation par la personne.
Article 10 — mesures de sécurité raisonnables : impossibles à proportionner sans inventaire.
CIS Controls v8 IG1 #1 et #2 — Inventory and Control of Enterprise Assets + Software Assets. Première priorité pour une PME.
ISO 27001:2022 A.5.9 — Inventory of information and other associated assets.

Pourquoi c'est critique

C'est la première mesure préventive recommandée par la CAI dans ses lignes directrices 2026 sur les incidents.
C'est la fondation de tous les autres modules. Sans inventaire, M2 (DPA), M3 (accès), M6 (cybersec) reposent sur l'incomplet.
C'est ce qu'un audit B2B examine immédiatement. Les donneurs d'ouvrage demandent souvent l'inventaire avant signature.

Concrètement pour une PME

Sans cartographie :

Chaque audit B2B se transforme en mise en conformité réactive (4-8 semaines)
Chaque incident révèle des outils inconnus dans la chaîne de réponse
Chaque ajout d'outil par un employé crée une non-conformité supplémentaire invisible

Le coût vient de l'absence d'inventaire — pas de la complexité de votre stack.

En résumé

Définition : la cartographie numérique est l'inventaire structuré de tous les outils, appareils et services qui traitent des renseignements personnels — incluant shadow IT et BYOD.

Trois faits clés :

Première mesure préventive CAI 2026
L'écart shadow IT / direction est en moyenne de 40 % en PME
CIS Controls v8 IG1 places les inventaires d'actifs et de logiciels en priorité #1 et #2

👉 Action : recensement par département + croisement avec relevés bancaires + scan réseau si possible. Mise à jour trimestrielle minimum.

Le cadre du registre des activités de traitement est traité dans la Formation Gouvernance PRP, module Registres obligatoires. Ce module-ci se concentre sur la cartographie technique qui alimente ce registre — méthodologie d'inventaire, détection du shadow IT, encadrement du BYOD.

Pour aller plus loin

Articles précis 3.2, 3.3, 8.1, 10, références ISO 27001 et CIS Controls v8 IG1 détaillées?

Voir les exigences légales et normatives →

Test rapide — votre cartographie tient-elle la route?

Trois questions pour évaluer votre situation.

Avez-vous une liste écrite et datée de tous les outils numériques actifs (officiels, shadow IT, BYOD)?

Cette liste est-elle revue au moins trimestriellement et croisée avec les relevés bancaires?

Pour chaque outil, savez-vous quelles données personnelles transitent et où elles sont hébergées?

Si non à une seule, votre cartographie ne respecte pas les recommandations CAI 2026.

Analyser mon infrastructure numérique →

Sécuriser votre environnement numérique

La Formation Numérique de base et Loi 25 couvre les sept dimensions clés — cartographie, fournisseurs, accès, continuité, IA, cybersécurité de base, incidents.

Analyser mon infrastructure numérique Planifier l'accompagnement

← Retour au plan de la formation Numérique