Guide web gratuit · Normes internationales en gouvernance des renseignements personnels
Pour dirigeants, RPRP et responsables conformité de PME québécoises

Normes internationales en gouvernance des renseignements personnels —
ce qu'une PME québécoise doit connaître

ISO 27001, ISO 27701, LPRPDE, RGPD, CCPA et 19 lois sur la protection des renseignements personnels d'États américains. Quatre référentiels complémentaires qui structurent ce qu'on attend d'une organisation au-delà de la Loi 25 — et où une PME québécoise se retrouve concernée sans avoir d'établissement à l'étranger.

Planifier un appel d'orientation →

Au-delà de la Loi 25 — un écosystème international

La gouvernance des renseignements personnels est l'ensemble des décisions, des rôles et des contrôles qui encadrent la collecte, l'utilisation, la conservation et la communication des données de personnes physiques par une organisation. Au Québec, la Loi 25 est la référence légale obligatoire.

Mais dès qu'une PME élargit son marché — clients hors Québec, fournisseurs cloud étrangers, partenaires européens, sous-traitance à un grand donneur d'ordre — d'autres référentiels viennent se superposer : la LPRPDE fédérale, le RGPD européen, les lois sur la protection des renseignements personnels des 19 États américains qui en sont dotés en 2026, et les normes ISO 27001 / ISO 27701 qui structurent la pratique partout dans le monde.

Ce hub présente quatre référentiels complémentaires qui ensemble forment le socle de gouvernance internationale d'une PME québécoise sérieuse sur la protection des renseignements personnels.

Préalable conseillé : ce hub présume une compréhension de base des obligations Loi 25. Si vous démarrez la conformité, commencez par la Formation Gouvernance PRP qui structure le RPRP, les politiques, les registres, la conservation, les sous-traitants et l'EFVP — avant d'aborder l'alignement sur les normes internationales.

À démystifier d'entrée de jeu

ISO n'est pas qu'une certification coûteuse. C'est avant tout un modèle de pensée structuré : un cadre méthodologique qui dit comment gouverner, documenter et améliorer en continu. La certification formelle est une étape optionnelle, délivrée par des organismes accrédités, justifiée seulement quand un client ou un partenaire l'exige contractuellement.

Pour la grande majorité des PME québécoises, s'inspirer du modèle ISO et l'appliquer à sa réalité produit déjà la rigueur attendue par la Commission d'accès à l'information — sans la facture d'une certification. L'objectif de ce hub est exactement ça : présenter le modèle pour qu'il soit utilisable, pas pour qu'il devienne un chantier de plusieurs années.

Pourquoi ça concerne une PME québécoise

L'idée reçue : « la Loi 25, c'est tout ce qu'il faut connaître au Québec ». La réalité est plus nuancée. Le critère d'application des lois modernes en protection des renseignements personnels n'est pas le siège social de l'entreprise, mais le lieu où se trouve la personne dont les données sont traitées — et le pays où sont hébergés vos outils.

Cas typiques où une PME québécoise se retrouve concernée par plusieurs régimes en même temps

  • Commerce ou services hors Québec — un commerce en ligne basé à Lévis qui expédie en Ontario tombe aussi sous LPRPDE. Si le site vise la France, le RGPD s'invite. Si un seul client californien atteint les seuils CCPA, c'est la Californie qui regarde.
  • Sous-traitance pour un client institutionnel — un client européen ou un grand donneur d'ordre canadien peut exiger contractuellement une démonstration formelle d'alignement ISO 27001 ou ISO 27701.
  • Adoption d'outils cloud et IA — Microsoft 365, Google Workspace, ChatGPT, Copilot, Salesforce, HubSpot. La majorité des fournisseurs sont aux États-Unis ou ont des centres de données qui débordent du Québec.
  • Préparation à un appel d'offres — viser la crédibilité auprès des clients exigeants (banques, hôpitaux, gouvernement) nécessite plus que la Loi 25.

Risque concret en cas d'ignorance : construire toute votre démarche sur la Loi 25 seule, puis découvrir lors d'une plainte ou d'un appel d'offres qu'une partie de vos activités relevait aussi du fédéral, de l'Europe ou de la Californie — avec les mauvaises notifications, le mauvais interlocuteur contacté, et des exigences contractuelles manquantes.

Les quatre référentiels — vue d'ensemble

Les quatre référentiels présentés ici se complètent. Chacun répond à une question différente et couvre une portée géographique ou structurelle distincte. Chaque section renvoie à la fiche détaillée correspondante.

ISO/IEC 27001:2022 — Système de management de la sécurité de l'information

Ce que vous apprenez : structure d'un SMSI (Système de Management de la Sécurité de l'Information), cycle PDCA, clauses 4 à 10, Annexe A — comment ce cadre éprouvé s'articule avec la Loi 25 pour structurer votre sécurité globale.

C'est la norme socle internationale en gouvernance de la sécurité de l'information. Publiée en 1995 et révisée en 2022, elle ne traite pas spécifiquement des renseignements personnels — elle protège toute information sensible : financière, opérationnelle, RH, confidentielle. Pour une PME québécoise, c'est le cadre éprouvé qui structure la sécurité globale, dont la sécurité des renseignements personnels est une composante.

Fiche détaillée — ISO 27001 →

ISO/IEC 27701:2019 — Extension vie privée de l'ISO 27001

Ce que vous apprenez : ce qu'est un PIMS (Privacy Information Management System — système de gestion de la vie privée), distinction entre responsable de traitement (controller — Annexe A, 31 mesures) et sous-traitant (processor — Annexe B, 18 mesures), articulation directe avec les obligations Loi 25 (registre, EFVP, sous-traitants, incidents).

Publiée en août 2019, c'est l'extension vie privée d'ISO 27001. Elle ajoute la dimension protection des renseignements personnels à un SMSI existant. Pour une PME québécoise soumise à la Loi 25, c'est le cadre international qui structure exactement ce que la loi exige : registre, EFVP, encadrement des sous-traitants, gestion des incidents, droits des personnes.

Fiche détaillée — ISO 27701 →

LPRPDE — Loi sur la protection des renseignements personnels et les documents électroniques (Canada)

Ce que vous apprenez : les 10 principes équitables dérivés du Code type CSA, quand la LPRPDE s'invite pour une PME québécoise (activités interprovinciales, secteurs fédéraux), articulation avec la Loi 25, état du projet C-27 en 2026.

Loi fédérale canadienne adoptée en 2000, administrée par le Commissariat à la protection de la vie privée du Canada. Reste en vigueur en 2026 malgré plusieurs tentatives de modernisation. Pour une PME québécoise, elle s'invite dès qu'une activité commerciale traverse une frontière provinciale ou qu'un mandat tombe sous compétence fédérale (banque, télécom, transport interprovincial).

Fiche détaillée — LPRPDE → Vue d'ensemble Loi 25 vs LPRPDE →

Lois internationales en protection des renseignements personnels — RGPD, CCPA et 19 lois US d'État

Ce que vous apprenez : les bases légales du RGPD (sanctions jusqu'à 4 % CA mondial), les seuils CCPA / CPRA et la California Privacy Protection Agency, les 19 lois US d'État en vigueur en 2026 (Virginie, Colorado, Connecticut, etc.), quand une PME québécoise est concernée sans établissement à l'étranger.

Trois familles principales : le RGPD européen (en vigueur depuis 2018), le CCPA / CPRA californien (renforcé en 2023, autorité dédiée la CPPA), et l'ensemble des lois sur la protection des renseignements personnels adoptées État par État aux États-Unis — 19 États en avaient une en vigueur en 2026. Pour une PME québécoise qui exporte ou qui sous-traite pour des clients étrangers, ces régimes peuvent s'appliquer même sans établissement à l'étranger.

Fiche détaillée — Lois internationales →

Comparaison des niveaux d'exigence — Québec, Canada, USA, Europe

Les régimes diffèrent significativement dans leur niveau d'exigence et leur philosophie. Cette comparaison aide à comprendre où une PME québécoise se situe dans l'écosystème international.

Régime Portée Philosophie Niveau Sanctions max
Loi 25 (QC) Personnes au Québec Consentement explicite + droits forts Élevé (proche RGPD) 25 M$ ou 4 % CA mondial
LPRPDE (CA fédéral) Activités hors QC ou fédérales 10 principes équitables Modéré Sanctions réputationnelles + recours civils
RGPD (UE) Personnes dans l'UE Bases légales obligatoires + DPO Très élevé 20 M€ ou 4 % CA mondial
CCPA / CPRA (Californie) Résidents californiens (sous seuils) Droit de connaître, supprimer, refuser Modéré-élevé 7 500 $ par violation intentionnelle
Autres lois US d'État Résidents de l'État (sous seuils) Variable (souvent inspirées VCDPA) Modéré Variable selon État

Constat clé pour une PME québécoise : la Loi 25 et le RGPD sont les régimes les plus exigeants. Si une organisation s'aligne sur ces deux référentiels, elle satisfait largement la LPRPDE, le CCPA et la majorité des lois US d'État. La posture standard est donc de structurer la conformité Loi 25 d'abord, en gardant un œil sur l'alignement RGPD. Les autres régimes deviennent ensuite des extensions documentaires plus que des chantiers nouveaux.

Une question avant d'aller plus loin ?

infos@kavenchamberland.com  ·  418-297-0558

⚙️ Là où les obligations multi-régimes convergent

EFVP, DPA, cloud et IA — où ces normes s'appliquent concrètement

C'est là où la majorité des PME québécoises se font surprendre : leurs outils du quotidien déclenchent des obligations multi-juridictionnelles.

EFVP — Évaluation des facteurs relatifs à la vie privée

Ce que vous apprenez : quand l'EFVP est obligatoire (art. 3.3 Loi 25 — risque sérieux) ou seulement recommandée, la méthodologie en six questions (quoi, pourquoi, qui, où / combien de temps, risques, mitigation), l'articulation avec la DPIA du RGPD (art. 35), ISO 27701 (mesure A.7.2.5) et ISO 42005 pour les systèmes d'IA.

Une EFVP n'est pas un document de 50 pages — c'est une analyse structurée. Pour une PME, elle n'est pas obligatoire pour chaque traitement, seulement pour les projets sensibles (déploiement d'un nouveau CRM, adoption d'un outil IA, externalisation de données clients). Quand le risque est réel, c'est le geste qui protège la direction et démontre une gouvernance défendable.

Fiche détaillée — EFVP →

DPA — Data Processing Agreement

Ce que vous apprenez : ce qu'est un DPA, son contenu minimum (description du traitement, durée, catégories de renseignements, sécurité, sous-traitance ultérieure, retour ou destruction des données, droit d'attestation), comment exploiter les modèles standards des grands fournisseurs et pourquoi tenir un registre des DPA signés.

C'est l'entente écrite obligatoire entre une organisation (responsable de traitement) et son sous-traitant. Imposée par la Loi 25 (art. 18.3), le RGPD (art. 28) et la LPRPDE (principe de responsabilité). Les fournisseurs majeurs publient des DPA standardisés alignés RGPD que la plupart des PME québécoises peuvent signer tels quels — le réflexe à acquérir : conserver une copie signée dans le registre des sous-traitants.

Fiche détaillée — DPA →

Cloud, IA et lois internationales

Ce que vous apprenez : où sont hébergées les données de Microsoft 365, Google Workspace, AWS, ChatGPT, Microsoft Copilot et Gemini ; quelles obligations Loi 25 (art. 17 transferts hors Québec, art. 18.3 sous-traitants, art. 3.3 EFVP) sont déclenchées par leur usage ; ce que le RGPD ajoute (clauses contractuelles types) et ce que la LPRPDE exige (responsabilité maintenue).

C'est le point où les obligations multi-régimes convergent le plus vite : un seul outil cloud peut activer simultanément la Loi 25, la LPRPDE, le RGPD et une loi US d'État. Pour les IA, le minimum à exiger avant tout usage professionnel — version « entreprise » avec non-réutilisation des données pour entraînement et hébergement contractuel encadré.

Fiche détaillée — Cloud, IA et lois internationales →

Fiches en préparation — publication progressive sur ce hub.

Articulation entre les référentiels — comment les lire ensemble

Les quatre référentiels ne sont pas redondants. Chacun répond à une question différente.

Référentiel Question à laquelle il répond Public principal
Loi 25 « Que dois-je faire au Québec? » (obligation légale) Toute organisation au Québec
LPRPDE « Que dois-je faire pour mes activités hors Québec ou fédérales? » PME interprovinciales, secteurs fédéraux
ISO 27001 « Comment structurer ma sécurité de l'information? » Direction, équipes IT et conformité
ISO 27701 « Comment ajouter la dimension vie privée à mon SMSI? » RPRP, équipe vie privée
RGPD / CCPA « Que dois-je faire si je traite des personnes en Europe ou aux USA? » PME exportatrices

Ordre de mise en place suggéré pour une PME québécoise

  1. Loi 25 — c'est l'obligation locale, elle structure le minimum vital.
  2. ISO 27701 (alignement, pas certification) — pour donner un cadre éprouvé à la documentation Loi 25.
  3. LPRPDE — vérification de couverture si l'activité dépasse le Québec.
  4. RGPD / CCPA — uniquement si exportation ou clientèle directe à l'étranger.

L'erreur classique : commencer par viser ISO 27001 sans avoir d'abord cartographié les obligations Loi 25. Résultat : un beau SMSI qui ne traite pas spécifiquement les renseignements personnels et qui ne satisfait pas la CAI en cas de plainte.

Comment ces référentiels structurent les contrôles qualité de Kaven

Les contrôles qualité (CQ Numérique, CQ Gouvernance Loi 25, CQ Site web Loi 25) et le Diagnostic stratégique utilisent ISO 27001:2022 et ISO 27701:2019 comme cadres normatifs principaux, croisés avec la Loi 25, les lignes directrices CAI, CIS Controls v8 IG1 et OWASP Top 10 selon le périmètre.

Posture

  • La certification ISO 27001 ou ISO 27701 n'est ni nécessaire ni recommandée pour la majorité des PME québécoises — c'est un investissement coûteux justifié uniquement par des exigences contractuelles fortes.
  • L'alignement sur ces normes, par contre, donne un cadre éprouvé, une documentation cohérente et une crédibilité face aux clients exigeants — sans payer la certification.
  • Le rôle dans une PME = transposer le cadre normatif en gestes simples et défendables, adaptés à la taille et aux moyens de l'organisation.

Limite explicite : pour la certification formelle ISO 27001 ou ISO 27701, il faut s'adresser à un organisme accrédité (BNQ, BSI, Bureau Veritas, etc.). Les guides et services présentés ici accompagnent la mise en place et présentent les principes — ils ne délivrent pas et ne préparent pas formellement à la certification.

À retenir

  1. Quatre référentiels complémentaires, pas redondants — Loi 25 (obligation locale), LPRPDE (activités hors QC ou fédérales), ISO 27001/27701 (cadre normatif structurant), lois internationales (RGPD, CCPA et autres).
  2. Le critère n'est pas où vous êtes, c'est où sont vos clients — une PME québécoise peut tomber sous RGPD ou CCPA sans avoir de bureau à l'étranger.
  3. Cloud, IA, DPA et EFVP sont les quatre points où les obligations multi-régimes convergent — c'est là que se concentrent la plupart des risques pour une PME.
  4. Loi 25 et RGPD sont les régimes les plus exigeants — s'aligner sur ces deux couvre largement les autres régimes nord-américains.
  5. Aligner ≠ certifier — pour la majorité des PME, viser l'alignement sur ISO 27001 / 27701 est plus pertinent que viser une certification formelle.

Vous voulez situer votre organisation par rapport à ces référentiels?

Un appel d'orientation de 30 minutes, gratuit et sans engagement. On regarde ensemble votre contexte et on identifie les chantiers prioritaires.

Planifier l'appel d'orientation →