Formation · Gouvernance PRP · 6 modules pratiques · Vidéoconférence
Conçue pour les dirigeants, RPRP et gestionnaires de PME québécoises

Formation Gouvernance PRP au Québec —
construire votre conformité Loi 25 étape par étape

Six modules pratiques pour mettre en place, document par document, la gouvernance PRP exigée par la Loi 25. Pas de théorie — des procédures concrètes, des modèles utilisables, et la logique pour tenir votre programme à jour.

Obtenir mon Analyse gouvernance PRP Découvrir le mandat RPRP externe →

Voir le format, la durée et le tarif ↓

Votre gouvernance est-elle prête?

Trois questions pour évaluer rapidement où vous en êtes.

Si vous avez répondu non à une ou plusieurs questions, l'Analyse gouvernance PRP identifie précisément où combler les lacunes.

Obtenir mon Analyse gouvernance PRP →

La réalité pour une PME québécoise

Aujourd'hui, la majorité des PME au Québec :

  • n'ont pas de gouvernance PRP structurée — juste des fragments ;
  • ont des documents incomplets ou inutilisables en cas de plainte ;
  • ne sauraient pas répondre à une demande de la CAI dans les délais attendus.

Le risque n'est pas théorique. Il est déjà présent dans la plupart des organisations — jusqu'au jour où une plainte arrive.

Une formation pratique — pas un cours théorique

La Formation Initiation PRP aux employés vous apprend à reconnaître les concepts de la Loi 25. Cette formation Gouvernance PRP vous apprend à construire la conformité, document par document, procédure par procédure.

Chaque module couvre un livrable concret exigé par la Loi 25 : comment le rédiger, quelles sections inclure, comment le publier, comment le maintenir à jour. Les six modules sont alignés sur les 9 dimensions évaluées par l'Analyse gouvernance PRP — vous sortez de la formation préparé à l'analyse.

Guide complet — Les 6 modules pratiques

Chaque module renvoie vers un guide pratique (comment construire) et une page sur les exigences légales applicables.

Comment désigner un RPRP et lui donner les moyens d'agir?

Ce que vous apprenez : rédiger une lettre de mandat RPRP claire, définir responsabilités / temps / autorité / accès, publier les coordonnées de façon conforme.

La désignation du RPRP est la première exigence de la Loi 25 — et la plus souvent mal faite dans les PME. Soit personne n'est désigné (le dirigeant est RPRP par défaut sans le savoir), soit quelqu'un est nommé sur papier sans mandat ni temps réels.

Ce module couvre la rédaction concrète d'un mandat opérationnel : les clauses obligatoires, la publication accessible, l'articulation avec la direction, et le choix entre interne et mandat externe. Si les ressources internes manquent, le mandat RPRP externe offre une alternative structurée.

Guide — Rédiger le mandat du RPRP → Exigences légales de désignation → Mandat RPRP externe — service →

Comment rédiger une politique de confidentialité conforme à la Loi 25?

Ce que vous apprenez : structurer les sections obligatoires, rédiger dans un langage clair, publier de façon accessible, définir un rythme de révision.

La politique de confidentialité est le document public qui expose vos pratiques aux clients, employés et à la CAI. Elle doit contenir un ensemble précis de sections : finalités, catégories de données, durées, droits, coordonnées du RPRP, procédure de plainte.

Ce module présente la structure type d'une politique conforme, les pièges de formulation (langage juridique inaccessible, finalités trop vagues, durées absentes), et la procédure de mise à jour annuelle.

Guide — Rédiger la politique → Exigences légales →

Comment tenir les registres obligatoires (traitements et incidents)?

Ce que vous apprenez : structure minimale des deux registres, colonnes obligatoires, rythme de tenue, responsabilités, comment démontrer la diligence.

Deux registres sont attendus : le registre des activités de traitement (inventaire des flux de données) et le registre des incidents de confidentialité (historique des événements et mesures prises). Ils sont examinés en priorité en cas d'enquête.

Ce module couvre la construction des deux registres — colonnes minimales, granularité attendue, rythme de mise à jour, responsabilités de tenue — et les templates Excel de base adaptables à une PME.

Guide — Tenir les registres → Exigences légales →

Combien de temps conserver les données et comment les détruire?

Ce que vous apprenez : définir des durées justifiées par catégorie, construire une politique de conservation, mettre en place la destruction sécurisée, structurer la gestion des accès.

La Loi 25 impose une conservation limitée à la durée nécessaire aux finalités — et une destruction sécurisée au terme. Sans politique claire, les données s'accumulent et deviennent un passif en cas d'incident.

Ce module couvre la construction d'une table de durées par catégorie, les justifications légales (fiscales, contractuelles, sectorielles), les méthodes de destruction sécurisée (papier, numérique), et la gestion des accès selon le principe du moindre privilège.

Guide — Conservation et destruction → Exigences légales →

Sous-traitants et DPA — quand, pourquoi, comment démarrer?

Ce que vous apprenez : identifier les sous-traitants qui traitent des renseignements personnels, quand un DPA est requis, clauses minimales à inclure, bases d'une évaluation de transfert hors Québec.

Dès qu'un tiers traite des renseignements personnels pour votre compte — hébergeur, CRM, comptable, service TI, infonuagique — une entente de protection des données (DPA) est attendue. Ce module aide à identifier vos sous-traitants et à structurer les ententes de base.

L'approfondissement des DPA complexes et des transferts internationaux est couvert dans une formation dédiée ou dans la Formation Numérique. Ici, la priorité est de savoir quand c'est requis, pourquoi, et comment poser les bases.

Guide — Identifier et encadrer → Exigences légales →

EFVP — quand, pourquoi, comment démarrer?

Ce que vous apprenez : reconnaître les situations qui exigent une EFVP, comprendre l'objectif d'une EFVP, identifier les étapes de base, savoir quand faire appel à un expert.

L'Évaluation des Facteurs relatifs à la Vie Privée (EFVP) est obligatoire avant tout transfert hors Québec, toute acquisition ou refonte de système impliquant des renseignements personnels, et pour les projets à traitement important. Elle est l'une des obligations les plus sous-estimées en PME.

Ce module explique quand une EFVP est requise, pourquoi elle protège l'organisation, et les étapes de base pour en réaliser une proportionnée. L'approfondissement des EFVP complexes est couvert dans une formation dédiée.

Guide — Démarrer une EFVP → Exigences légales →

Dans la majorité des PME québécoises…

⚠️

Un RPRP est parfois nommé sur papier — mais sans mandat formel, sans temps dédié, et sans autorité réelle pour agir.

⚠️

La politique de confidentialité existe, mais elle a été copiée d'un modèle générique — finalités vagues, durées absentes, droits non expliqués.

⚠️

Aucun registre des traitements ni des incidents n'existe — et personne ne sait par où commencer pour les construire.

Résultat : des documents partiels, une conformité apparente, et une fragilité réelle en cas d'incident ou d'enquête.

Avant / Après la formation

La transformation mentale que vous vivez en construisant votre gouvernance.

❌ Avant

  • Obligations Loi 25 floues
  • Documents incomplets ou copiés
  • Décisions improvisées dans les zones grises
  • Aucune structure claire pour répondre à la CAI
  • RPRP désigné sur papier sans moyens

✅ Après

  • Structure claire et documentée
  • Documents utilisables immédiatement
  • Décisions justifiables et traçables
  • Gouvernance compréhensible par un tiers (CAI, auditeur, client)
  • RPRP opérationnel avec mandat, temps et autorité

Cette formation est pour vous si…

Quatre indicateurs d'adéquation.

  • Vous êtes dirigeant, gestionnaire ou RPRP désigné d'une PME québécoise.
  • Votre organisation a commencé sa conformité Loi 25 sans structure claire — fragments de documents, pratiques informelles.
  • Vous avez des documents partiels (politique copiée, registre inexistant, mandat RPRP verbal) et vous savez qu'ils ne tiendraient pas en cas d'enquête.
  • Vous ne savez plus par où continuer — la loi vous paraît vaste et vous voulez une méthode de mise en place étape par étape.

La formation en pratique

Format

Vidéoconférence

Durée

1 heure

Public cible

Dirigeants, RPRP désignés, gestionnaires

Niveau

Intermédiaire — prérequis : Initiation PRP aux employés

Tarif

250 $ + taxes

Pour une équipe de 8 personnes : moins de 32 $ par personne

Mettre en contexte

Une formation complète de gouvernance PRP 250 $
Une ordonnance de la CAI pour défaut de gouvernance imprévisible
Une refonte d'urgence après incident évitable

Une heure de formation peut éviter des semaines de reconstitution.

Ce que vous construisez après cette formation :

  • Un mandat RPRP formalisé et publié
  • Une politique de confidentialité complète et accessible
  • Deux registres opérationnels (traitements + incidents)
  • Une politique de conservation et destruction documentée
  • Une démarche claire pour encadrer vos sous-traitants
  • Une méthode proportionnée pour réaliser vos EFVP
Demander un plan de formation sur mesure →

Pourquoi structurer votre gouvernance maintenant

⚖️

Les obligations sont en vigueur. Toutes les mesures de la Loi 25 sont applicables depuis septembre 2024 — l'absence de gouvernance structurée est un risque immédiat, pas théorique.

📋

La documentation est la preuve de diligence. En cas d'incident ou d'enquête de la CAI, c'est la présence et la qualité des documents qui fait la différence — pas les intentions.

🏗️

Construire coûte moins que corriger. Mettre en place une gouvernance claire d'emblée évite les mises à niveau urgentes après incident.

🤝

Vos partenaires commerciaux l'attendent. Donneurs d'ouvrage et clients d'affaires demandent de plus en plus une gouvernance PRP documentée avant de signer.

Pourquoi cette formation est différente

Formation gouvernance classique

  • Présente les concepts de la loi
  • Reste au niveau théorique
  • Expose les obligations sans les traduire
  • Laisse le RPRP seul face à la rédaction

Cette formation

  • Procédures pas-à-pas pour chaque document
  • Templates minimaux adaptables à une PME
  • Erreurs pratiques à éviter dans la construction
  • Alignée sur les 9 dimensions de l'Analyse gouvernance PRP

Après la formation, vous sortez avec des documents construits et une compréhension opérationnelle — pas avec une liste d'obligations à traduire.

Pourquoi structurer coûte moins que corriger

Le coût de la conformité n'est pas dans la formation — il est dans son absence.

  • Corriger après un incident coûte plus cher que prévenir — notifications, mobilisation interne, communications clients, mise à niveau d'urgence.
  • Structurer dès maintenant évite les urgences — la conformité construite progressivement s'intègre dans les opérations, elle ne les bloque pas.
  • Une gouvernance claire réduit le temps de gestion — chaque décision future prend moins de temps parce que la référence existe.

Le coût n'est pas la formation — c'est l'absence de structure qui se paie en temps, en stress, et en exposition juridique.

Prêt à construire votre gouvernance PRP?

Un échange de 20 minutes suffit pour définir le parcours adapté à votre PME — modules choisis, format des sessions, équipes à former.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP

Vous cherchez à confier le rôle de RPRP à un consultant externe?
Découvrir le mandat RPRP externe →

Kaven Chamberland — Consultant en protection des renseignements personnels, Loi 25 Québec

En résumé — Gouvernance PRP pour PME

  • La Loi 25 impose plusieurs livrables : politiques, registres, EFVP, ententes
  • Chaque livrable doit être construit, publié et maintenu — pas seulement rédigé
  • La formation couvre la construction concrète de chaque élément
  • Alignement direct avec les 9 dimensions de l'Analyse gouvernance PRP

Formation Gouvernance PRP — réponse rapide

  • Modules : 6 modules pratiques
  • Durée : 1 heure par module
  • Public : Dirigeants, RPRP, gestionnaires
  • Prérequis : Initiation PRP ou équivalent
  • Format : Vidéoconférence modulaire
  • Responsable : Kaven Chamberland, consultant Loi 25 Québec

Autres formations disponibles

Chaque formation couvre un aspect distinct de la conformité Loi 25.

Initiation PRP aux employés

Les sept concepts fondamentaux de la Loi 25 expliqués aux équipes — reconnaître un RP, comprendre les principes, savoir réagir.

Lire la formation →

Site web et conformité Loi 25

Politique de confidentialité, cookies, formulaires, hébergement hors Québec et outils tiers — ce que votre site doit respecter.

Lire la formation →

Numérique de base et protection des données

Inventaire des outils, gestion des accès, cybersécurité de base, IA responsable et évaluation des sous-traitants numériques.

Lire la formation →

Introduction aux principes ISO 27001

SMSI, relation avec la Loi 25, domaines de contrôle clés et chemin réaliste vers la certification pour une PME québécoise.

Lire la formation →