Bloc 2 · Mise en place Gouvernance · 2ᵉ heure sur quatre

Mise en place gouvernance — partie 1
les cinq documents de base, à partir de templates et d'un cas-modèle

Atelier pratique d'une heure pour construire les documents fondamentaux de votre gouvernance PRP : mandat du RPRP, politique de confidentialité, registre des activités de traitement, procédure de conservation et de destruction et registre des incidents. Vous repartez avec des documents commencés sur votre réalité — pas une théorie de plus à digérer.

Planifier la formation Voir le format, la durée et le tarif ↓

Position dans votre parcours de conformité

Cette formation est la 2ᵉ heure du Bloc 2 — Mise en place Gouvernance (Phase Diagnostic). Elle suit directement la 1ʳᵉ heure — Initiation aux normes internationales qui pose le cadre conceptuel et légal. Ici, on passe à l'application concrète : la matière est enseignée à partir de templates éprouvés et d'un cas-modèle PME québécoise simple que vous pourrez ensuite transposer à votre propre situation.

Pré-requis : avoir suivi le Bloc 1 — Formations de base (Initiation PRP aux employés, Gouvernance PRP, Numérique de base, Site web et Loi 25) ainsi que la formation Initiation aux normes internationales — ou compréhension équivalente.

Suite dans le Bloc 2 : partie 2 — conservation, DPA et EFVP, puis Application à la gouvernance du site web.

Ce que vous repartez avec

À la fin de l'heure, vous avez avancé concrètement sur quatre documents fondamentaux adaptés à votre organisation.

  • Un mandat de RPRP rédigé sur votre situation — responsabilités, temps dédié, autorité, publication des coordonnées.
  • Un registre des activités de traitement commencé sur vos traitements réels — c'est le point de départ qui alimente la politique interne et les durées de conservation.
  • La structure d'une politique interne de protection des renseignements personnels — règles, rôles, procédures que votre organisation se donne pour traiter les renseignements au quotidien, alignées sur le registre construit juste avant.
  • Un registre des incidents initialisé avec les colonnes obligatoires et un canevas de notification CAI (Loi 25 art. 3.5-3.8).

Pour la partie 2 du Bloc 2 : conservation et sensibilité des données, DPA sous-traitants et démarche EFVP — les trois sujets qui demandent du jugement et de l'analyse, mieux abordés une fois la documentation de base posée. La politique de confidentialité publique (celle affichée sur le site, qui informe vos clients et candidats) est traitée dans la 4ᵉ heure du Bloc 2 — Application à la gouvernance du site web — elle réutilise et adapte la politique interne construite ici.

Aperçu pédagogique des quatre modules

Chaque module est résumé ci-dessous — qu'est-ce que c'est, à quoi ça sert, ce qui doit y figurer. Le guide théorique associé (lien à la fin de chaque module) approfondit la matière et fournit un template avec explications section par section que vous pouvez consulter avant la formation et garder comme référence ensuite.

Module 1 · Mandat RPRP

Construire le mandat du Responsable de la protection des renseignements personnels

Qu'est-ce que c'est : un document interne qui désigne formellement la personne responsable de la conformité PRP et qui précise son rôle, son autorité et son temps dédié.

À quoi ça sert : c'est le premier livrable exigé par la Loi 25 (art. 3.1) — sans mandat formel, votre RPRP n'a pas l'autorité documentée pour agir, ce qui fragilise toute la gouvernance qui en découle.

Ce que le mandat doit contenir :

  • Identification du RPRP désigné et de son lien avec l'organisation
  • Responsabilités précises (pas juste « gérer la conformité »)
  • Temps dédié estimé par semaine ou par mois
  • Autorité décisionnelle — accès aux dossiers, capacité d'arrêter un projet non conforme
  • Publication des coordonnées (politique de confidentialité, signature courriel)
  • Conditions de révision et de remplacement

Cas particulier : si vous n'avez pas la capacité interne, un mandat RPRP externe est une alternative documentée et reconnue.

📖 Guide complet avec template du mandat → ⚖️ Exigences légales de désignation →

Module 2 · Registre des activités de traitement

Démarrer le registre des activités de traitement

Qu'est-ce que c'est : un inventaire structuré de tous les traitements de renseignements personnels effectués par l'organisation. C'est le point de départ de toute la gouvernance — sans inventaire, impossible de rédiger une politique juste ou de définir des durées proportionnées.

À quoi ça sert : preuve documentaire de votre gouvernance (Loi 25 art. 3.2). C'est le premier document que la CAI demande à voir lors d'une enquête, et c'est l'outil de pilotage qui permet de répondre rapidement à une demande d'accès ou de rectification. Il alimente directement la politique interne (module 3) et la table de durées de conservation (partie 2).

Colonnes minimales d'un registre :

  • Nom et description du traitement
  • Finalité (pourquoi ce traitement existe)
  • Catégories de renseignements traités
  • Catégories de personnes concernées
  • Source de la collecte (directe, indirecte, tiers)
  • Destinataires internes et externes
  • Sous-traitants impliqués (référence aux DPA — voir partie 2 du Bloc 2)
  • Transferts hors Québec (avec mention de l'EFVP)
  • Durée de conservation prévue
  • Mesures de sécurité en place

Astuce de mise en place : commencez par les traitements à plus fort enjeu (paie et RH, finances, marketing, vidéosurveillance) avant d'inventorier les traitements opérationnels courants. Mieux vaut un registre partiel mais juste qu'un registre complet inventé.

📖 Guide complet avec template du registre → ⚖️ Exigences légales →

Module 3 · Politique interne

Construire la politique interne de protection des renseignements personnels

Qu'est-ce que c'est : un document interne qui détaille comment votre organisation applique la Loi 25 dans son quotidien — règles, rôles, procédures, escalades. Elle s'appuie directement sur le registre construit au module précédent : les procédures décrites ici encadrent les traitements inventoriés là. Ce n'est pas la politique publique affichée sur le site (celle-là sera traitée en 4ᵉ heure du Bloc 2 car elle réutilise et adapte la politique interne).

À quoi ça sert : donner aux employés et aux gestionnaires une référence opérationnelle claire pour traiter les renseignements personnels au quotidien (collecte, accès, rectification, conservation, incidents, sous-traitance). C'est aussi le socle de la formation interne et la preuve que l'organisation a une gouvernance documentée au-delà des documents publics.

Sections typiques d'une politique interne :

  • Objet, portée et champ d'application (qui, quoi, à partir de quand)
  • Définitions des termes clés (renseignement personnel, sensibilité, RPRP, incident)
  • Rôles et responsabilités (RPRP, dirigeants, gestionnaires, employés, sous-traitants)
  • Principes directeurs de l'organisation (alignés sur les six principes Loi 25)
  • Procédures internes — collecte, consentement, accès, rectification, retrait, portabilité
  • Procédure de gestion des incidents (qui détecte, qui décide, qui notifie, quels délais)
  • Encadrement des sous-traitants (référence aux DPA — voir partie 2)
  • Conservation et destruction (référence à la table de durées — voir partie 2)
  • Formation et sensibilisation du personnel
  • Audit interne, amélioration continue et révisions
  • Sanctions internes en cas de manquement

Différence clé avec la politique publique : la politique interne décrit le comment opérationnel (procédures détaillées, escalades, sanctions). La politique publique décrit le quoi (finalités, droits, contacts) en langage accessible aux personnes concernées.

📖 Guide complet avec template de politique interne → ⚖️ Exigences légales →

Module 4 · Registre des incidents

Initialiser le registre des incidents et la procédure de notification

Qu'est-ce que c'est : un registre structuré de tous les incidents de confidentialité, accompagné d'une procédure interne de réponse.

À quoi ça sert : obligation depuis 2022 (Loi 25 art. 3.8) — preuve documentaire que vous détectez et traitez les incidents, et base pour les notifications obligatoires à la CAI et aux personnes concernées (art. 3.5 à 3.7) en cas de risque de préjudice sérieux.

Colonnes minimales du registre :

  • Date et heure de l'incident
  • Date et mode de détection
  • Nature de l'incident (perte, accès non autorisé, communication erronée, etc.)
  • Catégories de renseignements et de personnes touchées
  • Évaluation du risque de préjudice sérieux (critères standardisés)
  • Mesures correctives prises et leur date
  • Notifications (CAI, personnes concernées) avec dates et destinataires

Procédure associée : qui décide de l'évaluation du préjudice sérieux, qui notifie, dans quels délais (réflexe « notification rapide » dès qu'un risque sérieux est confirmé).

📖 Guide complet — Réagir à un incident →

Module complémentaire · Pour aller plus loin

Référentiels internationaux de gouvernance

Qu'est-ce que c'est : un ensemble de guides pratiques web gratuits qui situent cette formation par rapport aux référentiels internationaux (ISO 27001, ISO 27701, RGPD, LPRPDE).

À quoi ça sert : approfondir les liens entre la Loi 25 et les régimes internationaux que les clients institutionnels, les sous-traitants étrangers et les certifications volontaires demandent.

📖 Accéder aux guides Normes internationales →

La méthode — templates et cas-modèle

La formation ne livre pas une théorie de plus — la matière est ancrée dans des décisions documentées que vous pourrez ensuite reproduire sur votre organisation. L'heure repose sur deux outils :

  • Mes templates de documents — issus de ma propre gouvernance PRP (politique de confidentialité publique, registres, mandat RPRP) ainsi que de documents construits avec des PME québécoises. Pas des gabarits achetés en ligne, des documents éprouvés en condition réelle.
  • Un cas-modèle PME québécoise simple — entreprise typique avec quelques employés, outils courants, traitements standards. La base est suffisante pour enseigner la majorité des situations qu'une PME québécoise rencontre. Vous transposez ensuite à votre propre organisation.

Pour les cas plus complexes (traitements à grande échelle, données sensibles ou biométriques massives, profilage automatisé, secteurs réglementés comme la santé ou les services financiers), un accompagnement, des conseils juridiques spécialisés ou une formation sur mesure sont requis au-delà de cette heure.

La formation en pratique

Format

Vidéoconférence (présentiel sur demande)

Durée

1 heure continue

Public cible

Dirigeants, RPRP désignés, gestionnaires de PME québécoises

Niveau

Intermédiaire / pratique — pré-requis : Bloc 1 + Initiation aux normes internationales

Tarif

250 $ en vidéoconférence

Présentiel sur devis et disponibilité.

Position

2ᵉ heure du Bloc 2 — Mise en place Gouvernance

Vendable à l'unité ou intégrée à un mandat plus large.

⚖️ Avis important — statut de la formation

Cette formation a pour but de guider les organisations dans la mise en place des meilleures pratiques en protection des renseignements personnels. Elle est fournie à titre informatif et pédagogique et ne constitue en aucun cas un conseil juridique ni un avis juridique formel. Pour les situations particulières — secteur réglementé, incident en cours, litige —, consultez un avocat spécialisé.

Et après cette formation ?

Trois suites possibles pour passer de la connaissance à la conformité documentée.

Vérifier

Contrôle qualité gouvernance

Vérification de la conformité documentée des éléments couverts dans cette formation — selon les critères et principes ISO.

Voir le contrôle qualité →

Diagnostiquer

Diagnostic Stratégique Loi 25

Analyse croisée des trois axes (gouvernance, numérique, site web) selon les principes du Système de management de la sécurité de l'information (ISO 27001).

Voir le diagnostic →

Déléguer

Mandat RPRP externe

Si vous n'avez pas la capacité interne, le rôle de Responsable PRP est porté à l'externe — mandat récurrent défendable légalement.

Découvrir le mandat →

En résumé — Mise en place gouvernance — partie 1

  • Construire la base documentaire exigée par la Loi 25
  • Lettre de mandat RPRP, registre des activités de traitement, politique interne
  • Registre des incidents avec canevas de notification CAI
  • Cas-modèle Électrik Bourgeois inc. (PME électricien 6-7 employés)

Formation Mise en place gouvernance — partie 1 — réponse rapide

  • Modules : 4 modules pratiques
  • Durée : 1 heure
  • Public : Dirigeants, RPRP désignés, gestionnaires
  • Format : Guide web gratuit en accès libre + Vidéoconférence 250 $ ou présentiel sur devis
  • Phase : Diagnostic (Bloc 2 — Mise en place)
  • Responsable : Kaven Chamberland, consultant Loi 25 Québec

Questions fréquentes — Mise en place gouvernance — partie 1

Quelle est la suite logique ?

Mise en place gouvernance — partie 2 enchaîne avec trois outils de jugement pour le RPRP : conservation, DPA sous-traitants, EFVP.

Faut-il avoir suivi Gouvernance PRP avant ?

Recommandé mais pas obligatoire. Gouvernance PRP couvre les concepts ; cette formation applique concrètement avec un cas-modèle d'entrepreneur électricien.

Quel est le prix ?

Le guide web est gratuit en accès libre. La formation animée en vidéoconférence est à 250 $. Le présentiel est sur devis.