Bloc 2 · Mise en place Gouvernance · 3ᵉ heure sur quatre

Mise en place gouvernance — partie 2
conservation, DPA sous-traitants et EFVP — les trois sujets de jugement

Atelier pratique d'une heure sur les trois éléments de la gouvernance Loi 25 qui demandent du jugement et de l'analyse — combien de temps garder selon la sensibilité, comment encadrer les sous-traitants par un DPA, comment structurer une EFVP proportionnée. Sur la base de la documentation construite en partie 1.

Planifier la formation Voir le format, la durée et le tarif ↓

Position dans votre parcours de conformité

Cette formation est la 3ᵉ heure du Bloc 2 — Mise en place Gouvernance (Phase Diagnostic). Elle suit la partie 1 qui pose la documentation fondamentale (mandat, registre, politique, incidents). Ici, on entre dans les décisions de jugement : durées par sensibilité, encadrement contractuel des sous-traitants, démarche d'évaluation des projets à risque.

Pré-requis : Mise en place gouvernance partie 1 (registre, politique, mandat, incidents en place ou en cours) ou compréhension équivalente de la documentation PRP de base.

À venir dans le Bloc 2 : 4ᵉ heure consacrée à l'application des trois modules à la gouvernance du site web.

Ce que vous repartez avec

À la fin de l'heure, vous avez tranché les trois questions qui bloquent souvent une mise en conformité PRP.

  • Une table de durées de conservation par catégorie de renseignements, avec niveau de sensibilité associé et justification documentée.
  • Une liste de sous-traitants à encadrer par DPA, avec un modèle de clause d'entente prêt à adapter à chaque relation.
  • Une démarche EFVP opérationnelle pour votre organisation — quand la déclencher, comment la conduire proportionnée, comment documenter la décision.

Aperçu pédagogique des trois modules

Chaque module est résumé ci-dessous — qu'est-ce que c'est, à quoi ça sert, ce qui doit y figurer. Le guide théorique associé approfondit la matière et fournit un template avec explications section par section que vous pouvez consulter avant la formation et garder comme référence ensuite.

Module 1 · Conservation et sensibilité

Établir les durées de conservation selon la sensibilité des renseignements

Qu'est-ce que c'est : les règles qui définissent combien de temps vous gardez chaque catégorie de renseignements et comment vous les détruisez ensuite, modulées par le niveau de sensibilité.

À quoi ça sert : limiter votre exposition au risque (Loi 25 art. 23). Chaque jour de conservation au-delà du nécessaire augmente votre exposition sans contrepartie — un incident sur des données qui auraient dû être détruites reste votre responsabilité.

Logique de définition :

  • Chaque durée est justifiée par une finalité active ou une obligation légale
  • Plus la donnée est sensible (Loi 25 art. 12), plus la durée doit être courte et les mesures de sécurité renforcées
  • La méthode de destruction est documentée par support (papier, fichier, base, sauvegarde)
  • La traçabilité de la destruction est elle-même conservée

Le guide approfondit avec un tableau de durées suggérées par catégorie (clients, employés, candidats, factures, vidéosurveillance, etc.) et un tableau des niveaux de sensibilité (ordinaire, personnel non sensible, sensible art. 12, mineurs art. 8.1 et 9.1) avec exemples concrets et implications opérationnelles.

📖 Guide complet — durées et sensibilité → ⚖️ Exigences légales →

Module 2 · DPA — sous-traitants

Encadrer les sous-traitants par une entente de protection des données

Qu'est-ce que c'est : une entente écrite (Data Processing Agreement, DPA) qui précise les obligations PRP de chaque sous-traitant ayant accès à des renseignements personnels traités pour votre compte.

À quoi ça sert : la Loi 25 (art. 18.3) impose au responsable de s'assurer que les sous-traitants protègent les renseignements communiqués. Sans DPA, votre organisation reste seule responsable des manquements du sous-traitant. Le DPA documente la répartition des rôles, des obligations et des recours.

Clauses essentielles d'un DPA :

  • Identification des parties et description du traitement confié
  • Finalités autorisées (le sous-traitant ne peut pas réutiliser les données pour autre chose)
  • Mesures de sécurité minimales à respecter
  • Sous-traitance ultérieure (obligation d'autorisation préalable)
  • Localisation des données et transferts hors Québec (avec EFVP)
  • Notification des incidents — délai, format, contact
  • Droits d'audit du responsable
  • Sort des données à la fin du contrat (restitution ou destruction)
  • Durée et conditions de résiliation

Cas particulier : les grands fournisseurs cloud (Microsoft, Google, AWS, etc.) proposent leurs propres DPA standards. Le guide explique comment évaluer si leur DPA couvre les exigences Loi 25 ou s'il faut négocier un complément.

📖 Guide complet avec modèle de clause DPA → ⚖️ Exigences légales →

Module 3 · EFVP

Structurer une Évaluation des facteurs relatifs à la vie privée

Qu'est-ce que c'est : une analyse documentée des risques PRP d'un projet, produite avant son déploiement. Elle force à se poser les bonnes questions avant que la décision soit prise et coûteuse à revenir en arrière.

À quoi ça sert : la Loi 25 (art. 3.3) exige une EFVP avant toute communication de renseignements personnels hors du Québec, avant l'acquisition, le développement ou la refonte d'un système d'information impliquant des renseignements personnels, et pour les projets à traitement important ou sensible. C'est l'outil de gestion des risques PRP au niveau projet.

Étapes d'une EFVP proportionnée :

  • Description du projet et des traitements envisagés
  • Identification des renseignements personnels concernés et de leur sensibilité
  • Cartographie des flux (qui collecte, qui transmet, qui reçoit, où, pourquoi)
  • Identification des risques pour les personnes concernées
  • Évaluation de la probabilité et de la gravité de chaque risque
  • Mesures de mitigation proposées
  • Décision documentée (lancer, ajuster, ne pas lancer)
  • Plan de suivi et conditions de réévaluation

Principe de proportionnalité : une EFVP n'est pas toujours un document de cinquante pages. Pour les cas simples, une EFVP de quelques pages avec une grille standardisée suffit. Le guide propose une grille EFVP proportionnée que vous pouvez utiliser pour la majorité des projets PME, et indique quand passer à une EFVP approfondie.

📖 Guide complet avec grille EFVP → ⚖️ Exigences légales →

Module complémentaire · Pour aller plus loin

Référentiels internationaux de gouvernance

Qu'est-ce que c'est : un ensemble de guides pratiques web gratuits qui situent cette formation par rapport aux référentiels internationaux (ISO 27001, ISO 27701, RGPD, LPRPDE).

À quoi ça sert : approfondir les liens entre la Loi 25 et les régimes internationaux que les clients institutionnels, les sous-traitants étrangers et les certifications volontaires demandent.

📖 Accéder aux guides Normes internationales →

La méthode — templates et cas-modèle

Comme pour la partie 1, l'heure ne livre pas une théorie de plus — la matière est ancrée dans des décisions documentées. L'atelier repose sur :

  • Mes templates de documents — table de conservation par sensibilité, modèle de clause DPA, grille EFVP proportionnée — éprouvés en condition réelle.
  • Un cas-modèle PME québécoise simple — entreprise typique avec quelques employés, outils courants, traitements standards. La base est suffisante pour enseigner la majorité des situations qu'une PME québécoise rencontre.

Pour les cas plus complexes (traitements à grande échelle, données sensibles ou biométriques massives, profilage automatisé, secteurs réglementés comme la santé ou les services financiers), un accompagnement, des conseils juridiques spécialisés ou une formation sur mesure sont requis au-delà de cette heure.

La formation en pratique

Format

Vidéoconférence (présentiel sur demande)

Durée

1 heure continue

Public cible

Dirigeants, RPRP désignés, gestionnaires de PME québécoises

Niveau

Intermédiaire / analyse — pré-requis : Mise en place gouvernance partie 1

Tarif

250 $ en vidéoconférence

Présentiel sur devis et disponibilité.

Position

3ᵉ heure du Bloc 2 — Mise en place Gouvernance

Vendable à l'unité ou intégrée à un mandat plus large.

⚖️ Avis important — statut de la formation

Cette formation a pour but de guider les organisations dans la mise en place des meilleures pratiques en protection des renseignements personnels. Elle est fournie à titre informatif et pédagogique et ne constitue en aucun cas un conseil juridique ni un avis juridique formel. Pour les situations particulières — secteur réglementé, incident en cours, litige —, consultez un avocat spécialisé.

Et après cette formation ?

Trois suites possibles pour passer de la connaissance à la conformité documentée.

Vérifier

Contrôle qualité gouvernance

Vérification de la conformité documentée des éléments couverts dans cette formation — selon les critères et principes ISO.

Voir le contrôle qualité →

Diagnostiquer

Diagnostic Stratégique Loi 25

Analyse croisée des trois axes (gouvernance, numérique, site web) selon les principes du Système de management de la sécurité de l'information (ISO 27001).

Voir le diagnostic →

Déléguer

Mandat RPRP externe

Si vous n'avez pas la capacité interne, le rôle de Responsable PRP est porté à l'externe — mandat récurrent défendable légalement.

Découvrir le mandat →

En résumé — Mise en place gouvernance — partie 2

  • Trois outils de jugement pour le RPRP : conservation, DPA, EFVP
  • Table de durées de conservation par catégorie (clients, RH, factures, vidéosurveillance)
  • Modèle DPA pour sous-traitants conforme à l'article 18.3
  • Grille EFVP proportionnée pour évaluer les facteurs relatifs à la vie privée

Formation Mise en place gouvernance — partie 2 — réponse rapide

  • Modules : 3 modules outils de jugement
  • Durée : 1 heure
  • Public : RPRP, dirigeants en charge des sous-traitants
  • Format : Guide web gratuit en accès libre + Vidéoconférence 250 $ ou présentiel sur devis
  • Phase : Diagnostic (Bloc 2 — Mise en place)
  • Responsable : Kaven Chamberland, consultant Loi 25 Québec

Questions fréquentes — Mise en place gouvernance — partie 2

Faut-il avoir suivi la partie 1 ?

Oui — la partie 2 utilise les documents construits en partie 1 (registre des traitements, politique interne) comme base de travail.

La grille EFVP est-elle utilisable pour les outils IA ?

Oui, le canevas EFVP est appliqué dans la formation Intelligence artificielle (Phase Implantation) avec adaptations spécifiques ISO 23894/42005.

Quel est le prix ?

Le guide web est gratuit en accès libre. La formation animée en vidéoconférence est à 250 $. Le présentiel est sur devis.