999 $ · Livraison en moins de 48h · Phase Diagnostic — service phare
Diagnostic Stratégique Loi 25 —
le portrait complet de votre conformité
Les trois contrôles qualité réunis (Gouvernance PRP + Site web + Numérique) avec analyse stratégique transversale, score % global pondéré et plan d'action priorisé. Cadre unifié ISO/IEC 27701, ISO/IEC 27001 Annex A, OWASP Top 10, CIS Controls v8, Loi 25 et lignes directrices CAI.
Avant de soumettre vos documents — ressources gratuites
Consultez les quatre formations couvrant les domaines évalués
Chaque formation est composée de guides pratiques publiés en accès libre — vous pouvez les consulter sans engagement avant l'audit pour corriger les lacunes faciles et obtenir un rapport plus efficace.
Formation — principes de base
Initiation PRP aux employés →
7 guides pratiques gratuits
Formation — Gouvernance PRP
Gouvernance PRP →
6 guides pratiques gratuits
Formation — Site web Loi 25
Site web et Loi 25 →
7 guides pratiques gratuits
Formation — Numérique Loi 25
Numérique de base et Loi 25 →
7 guides pratiques gratuits
Bilan, Diagnostic ou Diagnostic Stratégique — quel niveau choisir ?
Trois étapes progressives pour construire et démontrer votre conformité Loi 25.
Phase Bilan — 199 $ × 3 ou 599 $ complet
Trois audits ou Bilan Gouvernance completVérifie la présence des éléments Loi 25 et cartographie l'infrastructure numérique. Point de départ.
Phase Diagnostic — 349 $ × 3
Trois contrôles qualité unitairesÉvalue la qualité réelle de chaque domaine séparément. Statuts ✅⚠️❌ par critère, sans score chiffré.
Diagnostic Stratégique — 999 $
Cette page — service phareLes trois CQ réunis et croisés avec score % global, analyse stratégique transversale et plan d'action unifié.
Pas encore fait le Bilan ? Commencez par le Bilan Gouvernance Loi 25 complet (599 $).
Documents à fournir pour ce Diagnostic Stratégique
Le Diagnostic Stratégique réutilise vos documents et données déjà constitués lors du Bilan — aucun doublon.
Pour le volet Gouvernance (CQ Gouvernance) :
- Vos 10 documents essentiels D1 à D10 (politique de confidentialité, registre des activités de traitement, procédures, avis de collecte, mesures de sécurité, sous-traitants, destruction, mécanisme d'exercice des droits)
Pour le volet Site web (CQ Site web) :
- L'URL publique de votre site
- Optionnel — pour analyse privée approfondie (Volet P) : ZIP du site OU identifiants admin lecture seule (recommandé pour les sites WordPress traitant des renseignements personnels)
Pour le volet Numérique (CQ Numérique) :
- Vos documents de gouvernance utiles : D2 Registre, D6 Mesures de sécurité, D8 Tableau sous-traitants, D9 Procédure de destruction (déjà soumis au volet Gouvernance — aucun doublon)
- Le rapport de cartographie numérique si vous l'avez fait avant le Bilan complet
- Disponibilité de votre technicien informatique ou sous-traitant TI pour valider les détails techniques non documentés
Le Diagnostic Stratégique est fait pour vous si…
- ✓Vous avez déjà fait le Bilan Gouvernance Loi 25 et voulez maintenant un portrait approfondi avec score global et plan d'action
- ✓Un donneur d'ouvrage, un client institutionnel, un assureur cyber ou la CAI exige une démonstration formelle et complète de votre diligence raisonnable
- ✓Vous voulez établir une référence chiffrée (score %) pour suivre l'évolution de votre maturité conformité dans le temps
- ✓Vous traitez des renseignements personnels sensibles ou avez subi un incident, et voulez un audit transversal de tous vos angles morts
- ✓Vous préparez une certification ISO 27001 ou ISO 27701 et voulez identifier vos écarts en amont, sur trois domaines simultanément
Les trois volets évalués
Chaque volet est évalué selon le cadre normatif spécifique de son domaine, puis croisé avec les deux autres pour identifier les incohérences ou les convergences stratégiques.
Volet Gouvernance — CQ Gouvernance Loi 25
Évaluation de vos 10 documents essentiels (D1 à D10) sur 5 axes : complétude, précision, cohérence inter-documents, actualité, applicabilité. Cadre ISO/IEC 27701:2019 + lignes directrices CAI + Loi 25.
Volet Site web — CQ Site Web Loi 25
4 volets : Loi 25 publique (7 critères), sécurité de surface (12 critères), vulnérabilité (4 tests passifs), et analyse privée optionnelle. Cadre OWASP Top 10 (2021) + Mozilla Observatory + ISO 27701 + Loi 25.
Volet Numérique — CQ Numérique Loi 25
2 sections : pratiques internes A1-A10 (MFA, accès, sauvegardes, EFVP, DPA, accès distants) et sécurité infrastructure B1-B10 (courriel, sous-domaines, ports, sécurité cloud). Cadre ISO/IEC 27001:2022 Annex A + CIS Controls v8 + Loi 25.
Analyse stratégique transversale
Croisement des 3 volets pour identifier les incohérences (ex: A1 dit MFA déployé mais B7 montre tenant cloud sans MFA imposé) et les convergences (ex: A8 DPA signé avec un fournisseur cohérent avec D8 Tableau sous-traitants). Score % global pondéré + plan d'action unifié.
Six cadres normatifs combinés
Le Diagnostic Stratégique est l'unique service à mobiliser simultanément les six référentiels — standards internationaux et obligations légales québécoises.
Norme internationale de gestion de la vie privée (extension de 27001). Référentiel principal du volet Gouvernance.
93 contrôles techniques et organisationnels du SMSI. Référentiel principal du volet Numérique.
Classification mondiale des risques applicatifs web. Référentiel principal du volet Site web.
Contrôles de cybersécurité priorisés pour PME. Croisé avec ISO 27001 sur le volet Numérique.
Loi québécoise sur la protection des renseignements personnels dans le secteur privé. Articles 3, 8-13, 23, 27-37, 63, 70.1.
Publications officielles de la Commission d'accès à l'information du Québec sur EFVP, DPA, mesures de sécurité raisonnables.
Exemple de livrable
Extrait du rapport de Diagnostic Stratégique que vous recevez à la fin de l'analyse.
Score % pondéré sur les 3 volets, avec décompte des statuts.
Les croisements entre volets révèlent des écarts qu'aucun audit unitaire ne pourrait détecter.
Constat : Le D8 Tableau sous-traitants (Volet Gouvernance) liste 4 fournisseurs SaaS avec DPA signé : Google Workspace, Mailchimp, QuickBooks Online, Dropbox. Le critère A8 (Volet Numérique) confirme. Cependant, la cartographie numérique (B4 Sous-domaines exposés) révèle un sous-domaine files.cabinet.ca hébergé chez Box.com — non listé dans D8 et non couvert par un DPA.
Implication Loi 25 : L'article 63 exige un DPA pour TOUT sous-traitant traitant des renseignements personnels. Box.com traite manifestement des fichiers clients (visibilité du sous-domaine). L'organisation est en infraction passive de l'art. 63.
Recommandation : Ajouter Box.com à D8, signer un DPA avec Box (ou migrer les fichiers vers un service déjà DPA-couvert), réaliser une EFVP si transfert hors Québec confirmé (art. 70.1).
Toutes les actions des 3 volets consolidées et priorisées selon l'impact stratégique.
- G/N — Régulariser DPA Box.com et EFVP Google Workspace + Mailchimp (Loi 25 art. 63 + 70.1)
- W — Renommer le compte « admin » WordPress et bloquer l'énumération (V4)
- G — Réécrire D2 Registre des activités de traitement (manque 4 traitements)
- N — Activer MFA tenant Mailchimp et QuickBooks (B7)
- W — Configurer en-têtes HTTP de sécurité (V2 Mozilla Observatory grade D)
- N — Tester les sauvegardes par restauration réelle (A4)
- G — Personnaliser D1 Politique de confidentialité (actuellement générique)
- N — Documenter formellement la procédure de révocation (A3)
- G — Compléter D7 Guide opérationnel et D9 Procédure de destruction
- N — Configurer Conditional Access sur Google Workspace (B10)
- W/N — Résoudre l'incohérence chiffrement sauvegardes (A9 dit oui, B5 montre fuite récente)
Comment ça fonctionne
Formulaire de contact sécurisé. Vous joignez vos 10 documents de gouvernance, votre cartographie numérique (si pas déjà fournie au Bilan), votre URL de site web et — en option pour le Niveau 2 du site — un ZIP ou des identifiants admin lecture seule.
Analyse rigoureuse de chaque volet selon son cadre normatif spécifique, puis cross-référence pour identifier les incohérences et convergences entre Gouvernance, Site web et Numérique. Score % global pondéré.
Rapport client signé de 18 à 25 pages, livré via lien sécurisé sur infrastructure hébergée au Québec.
- ✓ CQ Gouvernance complet (D1-D10)
- ✓ CQ Site web complet (Volets L/S/V)
- ✓ CQ Numérique complet (Sections A + B)
- ✓ Analyse stratégique transversale
- ✓ Score % global pondéré
- ✓ Cross-findings inter-volets
- ✓ Plan d'action priorisé unifié
- ✓ Rapport 18-25 pages signé
- ✓ 6 cadres normatifs combinés
- ✓ Confidentialité — hébergement Québec
En résumé
Le Diagnostic Stratégique Loi 25, en bref
Définition : le Diagnostic Stratégique Loi 25 est le service phare de la Phase Diagnostic. Il réunit les trois contrôles qualité (Gouvernance PRP, Site web, Numérique) en un seul rapport consolidé avec analyse stratégique transversale, score % global pondéré et plan d'action unifié. Cadre normatif combiné — ISO/IEC 27701:2019, ISO/IEC 27001:2022 Annex A, OWASP Top 10 (2021), CIS Controls v8 IG1, Loi 25 (LPRPSP) et lignes directrices de la Commission d'accès à l'information du Québec.
3 faits clés
- 3 volets unifiés : Gouvernance (10 docs × 5 axes), Site web (4 volets, 23+ critères), Numérique (Sections A + B = 20 critères)
- 6 cadres normatifs combinés — ISO 27701, ISO 27001 Annex A, OWASP Top 10, CIS Controls v8, Loi 25, CAI
- Livraison rapport 18-25 pages avec score % global en moins de 48h, à 999 $
Action recommandée
Bilan Gouvernance Loi 25 déjà réalisé (599 $) ou les 3 audits unitaires Phase Bilan complétés → commander le Diagnostic Stratégique. Pas encore de Bilan ? Commencer par le Bilan Gouvernance Loi 25 complet (599 $).
Questions fréquentes
Quelle est la différence entre les contrôles qualité unitaires (CQ Gouvernance / Site web / Numérique) et le Diagnostic Stratégique ?
Les trois CQ unitaires évaluent chacun un domaine séparément. Le Diagnostic Stratégique réunit les trois en un seul rapport consolidé avec : score % global pondéré, analyse stratégique transversale identifiant les croisements entre domaines (par exemple, un sous-traitant SaaS traitant des renseignements personnels nécessite à la fois un DPA en Gouvernance, une politique de confidentialité conforme sur le site web, et une mesure de sécurité numérique appropriée), plan d'action unifié et priorisé. C'est le service le plus complet pour démontrer la diligence raisonnable à un donneur d'ouvrage, un assureur cyber ou en cas d'enquête CAI.
Que se passe-t-il si je ne suis pas encore prêt — pas de cartographie, pas tous les documents de gouvernance ?
Le Diagnostic Stratégique présuppose que vous avez fait soit le Bilan Gouvernance Loi 25 complet (599 $), soit les trois audits unitaires de la Phase Bilan. Sans ces préalables, on ne peut pas évaluer la qualité de pratiques et de documents qui n'ont pas été cartographiés.
Vous voulez monter ou corriger les éléments par vous-même ? Suivez les formations dans cet ordre :
1. Initiation PRP aux employés — principes de base.
2. Gouvernance PRP — fondations.
3. Site web et Loi 25 — spécifique web.
4. Numérique de base et Loi 25 — pratiques numériques.
Chaque formation comprend des guides pratiques publiés en accès libre.
Pourquoi un score % alors que les CQ unitaires n'en ont pas ?
Le score % est uniquement appliqué aux rapports agrégés (Bilan Gouvernance Loi 25 599 $ et Diagnostic Stratégique 999 $) parce qu'ils agrègent plusieurs domaines avec une pondération cohérente (essentiel × 5, important × 3, secondaire × 1). Sur un service unitaire, un score chiffré donnerait une fausse impression de précision sur un périmètre limité. Le Diagnostic Stratégique fournit ainsi une note globale interprétable et comparable d'une période à l'autre — utile pour suivre votre maturité dans le temps.
Le rapport peut-il servir à démontrer ma conformité à un donneur d'ouvrage, un assureur cyber ou la CAI ?
Oui — c'est précisément l'usage principal. Le rapport documente formellement votre conformité face à six cadres normatifs reconnus (ISO/IEC 27701:2019, ISO/IEC 27001:2022 Annex A, OWASP Top 10 2021, CIS Controls v8 IG1, Loi 25 LPRPSP, lignes directrices CAI). Il identifie les déclencheurs EFVP (article 70.1) et les obligations DPA (article 63), priorise les écarts en 🔴 Critique / 🟠 Haute / 🟡 Normale, et fournit un score % global. Format adapté pour répondre à un appel d'offres, un questionnaire d'assurance cyber ou une demande de démonstration de diligence raisonnable. En cas de plainte ou d'enquête CAI, le rapport contribue à démontrer vos efforts continus pour améliorer votre conformité.
Combien de temps prend l'analyse ?
Moins de 48 heures à compter de la réception complète des informations (vos 10 documents de gouvernance, votre cartographie numérique, votre URL de site web, et — pour le volet Niveau 2 du site web — votre ZIP ou identifiants admin lecture seule). Le rapport final fait 18 à 25 pages, livré sur infrastructure hébergée au Québec.
Préférez-vous un service unitaire ?
Si vous voulez d'abord cibler un seul domaine, les trois contrôles qualité existent en service unitaire.
Qualité des 10 documents essentiels D1-D10. 349 $.
Qualité réelle de votre site : Loi 25, sécurité, vulnérabilités. 399 $ ou 399 $.
Pratiques internes + sécurité infrastructure (domaine, courriel, cloud). 349 $.
Pas encore prêt pour le Diagnostic ? Voir le Bilan Gouvernance Loi 25 complet (599 $) ou les trois audits unitaires Phase Bilan (199 $ chacun).