Maintenance numérique et amélioration continue
Maintenir son numérique à jour dans le temps

Module 1 · Récap du bloc et concept d'amélioration continue

Pourquoi un système numérique n'est jamais terminé

Récap rapide des trois formations précédentes — habitudes numériques employés (Formation 1), gouvernance numérique du dirigeant (Formation 2), cybersécurité d'entreprise (Formation 3) — puis introduction au concept d'amélioration continue avec la boucle PDCA (planifier-exécuter-vérifier-ajuster) en langage simple. Articulation du bloc : Formation 2 = Plan, Formation 3 = Do, Formation 4 = Check + Act. Pourquoi le numérique d'une PME se dégrade en silence sans mécanique de maintien.

Module 2 · Méthodes de suivi pour une PME

Indicateurs simples, journalisation utile, audit interne, revue de direction

Indicateurs simples PME : nombre d'incidents de sécurité par trimestre, taux de complétion des sauvegardes testées (pas seulement effectuées), nombre de fournisseurs avec DPA — entente de traitement de données — à jour, taux de rotation des accès lors des départs, employés ayant suivi de la formation continue dans l'année.

Journalisation utile : quoi journaliser (accès aux données sensibles, changements d'administration, incidents), pendant combien de temps, qui consulte. Distinguer le minimum opérationnel de la sur-collecte qui n'aide personne.

Audit interne PME (différent d'un audit de certification) : qui le fait (RPRP — responsable de la protection des renseignements personnels — ou consultant léger), à quelle fréquence (annuel typique), méthode simple en trois temps (revue documentaire, entrevues, observations). Revue de direction : forme légère pour PME — réunion 1 à 2 fois par an, ordre du jour standard, décisions documentées. Aligné sur les chapitres 9.1 à 9.3 des normes ISO de systèmes de gestion.

Module 3 · L'amélioration continue dans la pratique

La boucle PDCA pour une PME québécoise — rythme et exemples concrets

Explication simple de PDCA (planifier-exécuter-vérifier-ajuster), avec un exemple complet sur un cycle d'une année dans une PME québécoise type.

• Rythme proposé — trimestriel léger (note d'une page, indicateurs, ajustements rapides) + annuel structuré (revue de direction, décisions documentées, plan pour l'année suivante). Pas mensuel — épuisant et peu utile pour une PME.
• Comment éviter la bureaucratie — une page par revue trimestrielle, pas un classeur. La démarche doit aider l'organisation, pas la ralentir.
• Articulation avec les outils des formations précédentes — registre Loi 25, fiches employés, indicateurs deviennent les intrants de chaque revue.
• Exemples concrets d'améliorations identifiées par PDCA : nouveau gestionnaire de mots de passe, ajout d'une politique d'accès, formation supplémentaire des employés, mise à jour d'une entente fournisseur.

Aligné sur les chapitres 10.1 et 10.2 des normes ISO de systèmes de gestion — sans le formalisme certification.

Module 4 · Adapter votre numérique aux changements

Changements sociétaux, technologiques et réglementaires

Changements sociétaux : nouvelles attentes des clients (transparence, droits Loi 25, demande d'accès), généralisation du télétravail, BYOD — bring your own device — équipement personnel utilisé au travail, attentes des employés en matière de respect de la vie privée.

Changements technologiques : nouvelles menaces (hameçonnage généré par IA, falsification vidéo, injection de directives malicieuses dans les modèles), fin de support d'un outil utilisé quotidiennement, apparition de nouveaux outils dans l'écosystème.

Changements réglementaires : évolutions de la Loi 25 (nouvelles directives de la CAI — Commission d'accès à l'information du Québec), future législation fédérale sur l'IA annoncée par le ministre Evan Solomon en 2026 (contenu à préciser, distincte de l'ancienne LIAD/AIDA morte avec C-27 en janvier 2025), nouveaux règlements sectoriels.

Méthode pour rester à jour : sources fiables (CCC — Centre canadien pour la cybersécurité, CAI Québec, sources sectorielles), rythme de veille raisonnable, qui suit quoi dans l'organisation. Comment intégrer un changement dans le système de gestion existant sans tout refaire à chaque mise à jour. Aligné sur ISO 4.4 (système de management) et 6.3 (planification des changements).

Module 5 · Cartographier l'infrastructure pour préparer l'IA

Pas un cours sur l'IA — une cartographie qui prépare le terrain

Méthode de cartographie d'infrastructure d'une PME : actifs informationnels existants, flux de travail récurrents, qualité des données, accès actuels. Le but n'est pas d'apprendre l'IA — c'est de préparer une carte qui permettra d'évaluer son intégration le moment venu.

Identifier les zones où l'IA pourrait s'intégrer : tâches répétitives, gros volume, données déjà préparées (rédaction de premières versions, tri d'information, FAQ internes).

Identifier les zones où l'IA ne doit pas s'intégrer : décisions sur les personnes (Loi 25 article 12.1 — décisions exclusivement automatisées nécessitent information, droit à explication, droit à révision humaine), données sensibles non protégées, contextes réglementés.

Mention brève des grandes options (cloud vs local) sans comparatif détaillé — le détail est réservé au futur bloc IA dédié. L'objectif ici reste la cartographie, pas l'apprentissage des outils.

Module 6 · Pont vers le prochain bloc IA

Ce qui sera couvert dans la formation IA dédiée — et comment vous y préparer

Cette formation referme le bloc PRP et sécurité numérique. Le prochain bloc — IA pour organisations — couvrira sélection d'outils IA, ingénierie des consignes pour usages métiers, intégration d'agents IA, gouvernance d'IA, gestion du shadow IA. Tout cela est hors périmètre ici.

Ce qu'on installe dès maintenant pour être prêt : l'application du PDCA (modules 1-3), la cartographie d'infrastructure (module 5), la veille réglementaire (module 4). Une liste courte de ressources fiables pour rester à jour en attendant — CCC, CAI, ISED Canada (Innovation, Sciences et Développement économique), NIST AI RMF (cadre de gestion des risques liés à l'intelligence artificielle).

Module complémentaire · Pour aller plus loin

Référentiels techniques de sécurité numérique

Qu'est-ce que c'est : un ensemble de guides pratiques web gratuits qui approfondissent les référentiels techniques de sécurité numérique (CIS Controls, NIST CSF, ISO 27001) et les configurations concrètes côté serveur, poste et messagerie.

À quoi ça sert : outiller le responsable TI ou le sous-traitant qui doit traduire les exigences de cette formation en mesures techniques vérifiables — au-delà de la sensibilisation, vers l'audit et la conformité technique.

⚖️ Avis important — statut de la formation

Cette formation a pour but de guider les organisations dans la mise en place des meilleures pratiques de suivi, d'amélioration continue et d'adaptation au changement en matière de numérique et de protection des renseignements personnels. Elle est fournie à titre informatif et pédagogique et ne constitue en aucun cas un conseil juridique ni un avis sur une démarche de certification (ISO ou autre). Pour les situations particulières — secteur réglementé, décisions automatisées à fort impact, transferts internationaux complexes, certification visée —, consultez un avocat spécialisé ou un organisme accrédité.