Formation · Numérique de base et Loi 25 · 7 modules pratiques · Vidéoconférence
Conçue pour les dirigeants, responsables TI et RPRP de PME québécoises

Formation Numérique de base et Loi 25 au Québec —
sécuriser votre environnement étape par étape

Sept modules pratiques pour rendre votre environnement numérique conforme à la Loi 25 et résilient face aux incidents. Outils, fournisseurs, accès, sauvegardes, IA, cybersécurité de base, gestion des incidents — couverts dans l'ordre logique de mise en place. La suite naturelle de la Formation Gouvernance PRP, transposée à votre infrastructure.

Analyser mon infrastructure numérique Planifier la formation pour mon équipe →

Voir le format, la durée et le tarif ↓

Votre environnement numérique est-il sous contrôle?

Trois questions pour évaluer rapidement votre situation.

Si vous avez répondu non à une ou plusieurs questions, l'analyse numérique identifie précisément les zones à corriger en priorité.

Analyser mon infrastructure numérique →

La réalité numérique pour une PME québécoise

Aujourd'hui, la majorité des PME au Québec :

  • n'ont pas d'inventaire à jour de leurs outils numériques — chaque outil ajouté est invisible côté gouvernance ;
  • ont des comptes partagés ou des accès non révoqués qui exposent leurs données au-delà du nécessaire ;
  • n'ont jamais testé leurs sauvegardes et ne sauraient pas combien de temps il leur faut pour reprendre les opérations après un incident.

Le risque n'est pas théorique. Une fuite, un ransomware, ou un employé qui part avec ses accès actifs — chacun peut transformer une situation gérable en crise opérationnelle et juridique.

La face technique de votre conformité Loi 25

La Formation Gouvernance PRP vous apprend à structurer votre conformité interne : RPRP, politiques, registres, conservation, sous-traitants, EFVP. Cette formation Numérique vous apprend à opérationnaliser cette conformité dans vos outils — et à atteindre le niveau de cybersécurité de base attendu d'une PME.

Chaque module renvoie au module Gouvernance ou Site web correspondant pour les fondations, puis ajoute la couche numérique : où installer le MFA, comment configurer SPF/DKIM/DMARC, comment tester une sauvegarde, comment encadrer ChatGPT, comment réagir à un incident. L'objectif : un environnement numérique que vous maîtrisez, qui soutient votre conformité PRP au lieu de la fragiliser.

Guide complet — Les 7 modules pratiques

Chaque module renvoie vers un guide pratique (comment faire) et une page sur les exigences légales ou normatives applicables (Loi 25, ISO 27001, CIS Controls v8 IG1).

Quels outils numériques votre organisation utilise-t-elle vraiment?

Ce que vous apprenez : cartographier l'ensemble de votre environnement numérique — outils internes, SaaS pro, applications mobiles, shadow IT (outils utilisés sans autorisation), BYOD (appareils personnels). Identifier les flux de renseignements personnels.

Votre site web est un point de collecte (couvert dans la Formation Site web). Mais la majorité des renseignements personnels d'une PME ne transitent pas par le site — ils transitent par les outils internes : CRM, paie, courriel, stockage cloud, outils de collaboration. Sans inventaire complet, votre registre des activités de traitement reste partiel.

Ce module fait le pont avec le module Registres obligatoires de la Formation Gouvernance PRP. La cartographie numérique devient l'inventaire opérationnel qui alimente le registre, avec le détail attendu d'un environnement professionnel — incluant le shadow IT et les appareils personnels.

Guide — Cartographier les outils → Exigences légales →

Où sont vos données et quels DPA avez-vous signés avec vos fournisseurs?

Ce que vous apprenez : identifier la localisation des données pour chaque fournisseur SaaS, choisir une région Canada quand c'est possible, signer un DPA spécifique (pas seulement les CGU), maintenir un registre des transferts hors Québec.

La majorité des outils SaaS modernes permettent de choisir une région d'hébergement — Google Workspace propose Montréal, Microsoft 365 a des centres Canada Central, AWS a Canada Central et Calgary. Ce choix réduit considérablement la portée des obligations de l'article 17 (transferts hors Québec) et la complexité de l'EFVP.

Ce module prolonge les modules Sous-traitants et DPA et EFVP de la Formation Gouvernance PRP. Il les opérationnalise sur votre stack interne : modèles de DPA, choix de régions par fournisseur, EFVP allégée.

Guide — Localisation et DPA → Exigences légales →

MFA, comptes partagés, départs d'employés — comment maîtriser les accès?

Ce que vous apprenez : appliquer le principe du moindre privilège, déployer le MFA sur tous les services (TOTP/FIDO2 plutôt que SMS), éliminer les comptes partagés, documenter une procédure de révocation lors des départs, choisir un gestionnaire de mots de passe.

La gestion des accès est l'une des mesures les plus efficaces et les moins coûteuses. Elle réduit directement la surface d'exposition : un compte compromis ne donne accès qu'à ce dont l'employé avait besoin. ISO 27001 (A.5.16, A.5.18, A.8.5) et CIS Controls v8 IG1 (#5, #6) en font une priorité absolue.

Aucun module Gouvernance ne couvre ces aspects techniques : c'est un module 100 % numérique. Vous apprenez à choisir entre TOTP, FIDO2 et SMS (déconseillé), à comparer Bitwarden / 1Password / KeePass, et à structurer une procédure de révocation qui couvre tous les services en moins de 24 heures.

Guide — Gestion des accès → Exigences légales →

Sauvegardes, ransomware et reprise — votre organisation tient combien de temps sans accès?

Ce que vous apprenez : appliquer la règle 3-2-1 des sauvegardes (3 copies, 2 supports, 1 hors site), tester réellement la restauration, chiffrer au repos, définir RTO et RPO, distinguer sauvegarde et synchronisation cloud.

Une sauvegarde non testée n'est pas une sauvegarde — c'est un espoir. Une organisation qui découvre que ses sauvegardes sont corrompues le jour d'un ransomware n'a aucune option. ISO 27001 (A.8.13) et CIS Controls v8 IG1 (#11) imposent des tests de restauration documentés et datés.

Aucun module Gouvernance ne couvre la mécanique technique des sauvegardes : c'est un module 100 % numérique. Vous apprenez à appliquer la règle 3-2-1, à choisir un objectif de temps de reprise (RTO) et de point de reprise (RPO) adapté à votre PME, et à faire la différence entre Google Drive synchronisé (qui n'est pas une sauvegarde) et une vraie sauvegarde immutable.

Guide — Continuité et sauvegardes → Exigences légales →

ChatGPT, Copilot, IA — comment encadrer leur usage sous la Loi 25?

Ce que vous apprenez : distinguer IA générative et IA de décision, appliquer l'article 12.1 (information + droit d'intervention humaine), prévenir le shadow AI (employés qui utilisent ChatGPT avec des données clients), choisir des versions entreprise sans réutilisation pour entraînement.

Les outils IA sont arrivés massivement dans les PME en 2023-2025. La majorité des employés utilisent ChatGPT, Copilot ou Gemini sans encadrement formel — souvent en y collant des renseignements personnels de clients, d'employés ou de partenaires. C'est l'angle mort le plus rapide à corriger.

Ce module prolonge le module Outils tiers de la Formation Site web et le module EFVP de la Formation Gouvernance. Il ajoute la dimension propre à l'IA : article 12.1 sur les décisions automatisées, distinction shadow AI vs IA encadrée, politique d'usage interne.

Guide — IA et décisions automatisées → Exigences légales →

⚙️ Le seul module qui prépare directement le contrôle qualité numérique

Cybersécurité de base pour PME — quel est le minimum vital?

Ce que vous apprenez : configurer SPF, DKIM, DMARC contre l'usurpation par courriel, déployer les en-têtes HTTP de sécurité (HSTS, CSP, X-Frame-Options), maintenir les mises à jour, former les employés contre le phishing, vérifier la surface publique de votre domaine.

La Loi 25 (article 10) exige des « mesures de sécurité raisonnables » sans les détailler. ISO 27001 et CIS Controls v8 IG1 le précisent : un socle minimum existe, vérifiable de l'extérieur, et c'est ce qu'un audit B2B ou la CAI examineront en premier. Sans ce socle, votre conformité documentaire est fragilisée par la réalité technique.

Aucun module Gouvernance ni Site web ne couvre ce niveau de détail technique. Ce module-ci structure les fondations d'une cybersec de PME et prépare l'évaluation lors d'un contrôle qualité numérique. Les tests décrits sont accessibles avec des outils gratuits (MXToolbox, Mozilla Observatory, securityheaders.com).

Comment détecter, gérer et notifier un incident de confidentialité?

Ce que vous apprenez : bâtir un protocole de réponse aux incidents (détection, contention, éradication, communication), respecter les articles 3.5 à 3.7 sur la notification CAI et aux personnes concernées, tenir le registre des incidents, simuler un incident pour valider le protocole.

Un incident de confidentialité ne se gère pas le jour où il survient — il se prépare en amont. Sans protocole, l'organisation perd un temps critique en réactions improvisées, dépasse les délais de notification et aggrave les conséquences. La Loi 25 impose des obligations strictes (notification CAI sans délai si « risque sérieux de préjudice »).

Ce module prolonge le module Registres obligatoires de la Formation Gouvernance PRP (registre des incidents). Il ajoute la dimension technique : détection, simulation, communication. Si vous voulez confier la gestion à un tiers expert, le mandat RPRP externe peut couvrir la fonction de coordination des incidents.

Guide — Incidents et notification → Exigences légales → Mandat RPRP externe — service →

Dans la majorité des PME québécoises…

⚠️

Le MFA est limité aux administrateurs — les comptes employés sont protégés uniquement par mot de passe, ouvrant la porte au phishing et au credential stuffing.

⚠️

Les sauvegardes existent mais n'ont jamais été testées — le jour où il faudra restaurer, on découvrira si elles fonctionnent vraiment.

⚠️

Les employés utilisent ChatGPT et Copilot avec des données clients sans politique d'usage formelle — c'est le shadow AI le plus fréquent en 2025.

Résultat : un environnement numérique fonctionnel mais fragile, où chaque incident potentiel n'est qu'à un clic d'erreur humaine.

Avant / Après la formation

La transformation que vous vivez en sécurisant votre environnement numérique.

❌ Avant

  • Inventaire absent ou incomplet des outils SaaS
  • MFA partiel, comptes partagés actifs
  • Sauvegardes non testées
  • Shadow AI sans politique d'usage
  • Aucun protocole de réponse aux incidents

✅ Après

  • Cartographie complète et à jour des outils
  • MFA généralisé, comptes individuels, procédure de révocation
  • Sauvegardes 3-2-1 testées et chiffrées
  • Politique IA encadrée, versions entreprise déployées
  • Protocole d'incident documenté, testé par simulation

Cette formation est pour vous si…

Quatre indicateurs d'adéquation.

  • Vous êtes dirigeant, responsable TI, RPRP ou gestionnaire d'une PME québécoise.
  • Vous avez déjà entamé votre conformité interne (Gouvernance PRP) — ou vous voulez sécuriser votre environnement numérique en parallèle.
  • Votre stack a évolué de façon organique : outils ajoutés au fil du temps, MFA partiel, shadow IT et shadow AI probablement présents sans cadre.
  • Vous voulez atteindre un niveau de cybersécurité de base défendable face à un audit B2B ou à un incident — sans investir dans un SMSI complet.

La formation en pratique

Format

Vidéoconférence

Durée

1 heure

Public cible

Dirigeants, responsables TI, RPRP, gestionnaires

Niveau

Intermédiaire — prérequis recommandé : Gouvernance PRP

Tarif

250 $ + taxes

Pour une équipe de 8 personnes : moins de 32 $ par personne

Mettre en contexte

Une formation complète sur votre environnement numérique 250 $
Une attaque ransomware sans sauvegardes testées imprévisible
Une fuite suite à un compte non révoqué d'ancien employé évitable

Une heure de formation peut éviter des semaines de gestion de crise.

Ce que votre environnement numérique reflète après cette formation :

  • Une cartographie complète de vos outils et données
  • Des fournisseurs SaaS encadrés par DPA et localisés au mieux
  • Un MFA généralisé et des accès maîtrisés
  • Des sauvegardes testées selon la règle 3-2-1
  • Une politique IA claire et un usage encadré
  • Une cybersécurité de base mesurable et défendable
  • Un protocole d'incident prêt et testé
Planifier la formation pour mon équipe →

Pourquoi sécuriser votre environnement numérique maintenant

🔐

Les ransomwares ciblent les PME. Les organisations sans MFA généralisé et sans sauvegardes testées sont les victimes idéales — pas pour leur valeur, mais pour leur faible résistance.

🤖

L'IA s'est invitée sans cadre. Vos employés utilisent déjà ChatGPT et Copilot — la question n'est pas de l'interdire, mais de l'encadrer pour respecter la Loi 25.

📋

Les audits B2B intègrent la cybersécurité. Donneurs d'ouvrage, partenaires et clients d'affaires demandent des preuves : MFA, DPA, plan d'incident.

⚖️

Les obligations Loi 25 s'appliquent intégralement. L'article 10 (mesures de sécurité), les articles 3.5-3.7 (notification incidents) et l'article 12.1 (décisions automatisées) sont tous en vigueur.

Pourquoi cette formation est différente

Approche IT classique

  • Centrée sur la technologie sans cadre légal
  • Suppose un budget IT structuré
  • Néglige les exigences PRP spécifiques
  • Liée à un mandat IT plus large

Cette formation

  • Articule cybersécurité, ISO 27001 IG1 et Loi 25
  • Adaptée à une PME sans budget IT dédié
  • Aligne la cybersec sur les obligations PRP
  • Format unifié — un parcours complet, sans à-coups

L'objectif est de rendre votre environnement défendable — pas de vous transformer en spécialiste cybersécurité.

Pourquoi prévenir coûte moins que réagir

Le coût n'est pas dans la formation — il est dans son absence.

  • Prévenir un incident coûte moins cher que le gérer — temps de gestion, communications, perte de confiance, possible enquête CAI.
  • Une cartographie complète prévient les surprises lors des audits B2B et des renouvellements de contrats.
  • Un protocole d'incident testé réduit le temps de réponse de plusieurs jours à quelques heures.

Le coût n'est pas la formation — c'est l'absence de structure technique qui se paie en stress, en heures et en exposition juridique.

Prêt à sécuriser votre environnement numérique?

Un échange de 20 minutes suffit pour définir les modules pertinents pour votre stack et planifier les sessions. Formation offerte en vidéoconférence, adaptée à votre infrastructure et vos outils actuels.

Analyser mon infrastructure numérique Planifier la formation pour mon équipe

Pas de RPRP désigné dans votre organisation?
Découvrir le mandat RPRP externe →

Kaven Chamberland — Consultant en protection des renseignements personnels, Loi 25 Québec

En résumé — Numérique et Loi 25

  • Tous les outils numériques qui traitent des renseignements personnels sont concernés par la Loi 25
  • L'article 10 exige des mesures de sécurité raisonnables — alignées sur ISO 27001 et CIS Controls v8 IG1
  • Le MFA, les sauvegardes testées et la révocation des accès sont les premières mesures à mettre en place
  • L'IA et les incidents ont leurs propres obligations spécifiques (art. 12.1 et art. 3.5-3.7)

Formation Numérique Loi 25 — réponse rapide

  • Modules : 7 modules pratiques
  • Durée : 1 heure
  • Public : Dirigeants, TI, RPRP, gestionnaires
  • Prérequis : Gouvernance PRP recommandé
  • Format : Vidéoconférence
  • Tarif : 250 $ + taxes
  • Responsable : Kaven Chamberland, consultant Loi 25 Québec

Autres formations disponibles

Chaque formation couvre un aspect distinct de la conformité Loi 25.

Initiation PRP aux employés

Les sept concepts fondamentaux de la Loi 25 expliqués aux équipes — reconnaître un RP, comprendre les principes, savoir réagir.

Lire la formation →

Gouvernance PRP pour l'organisation

RPRP, politique de confidentialité, registres, conservation, sous-traitants et EFVP — la base interne de votre conformité.

Lire la formation →

Site web et conformité Loi 25

Politique publiée, formulaires, outils tiers, cookies, données sensibles exposées — ce que votre site web doit respecter.

Lire la formation →

Introduction aux principes ISO 27001

SMSI, relation avec la Loi 25, domaines de contrôle clés et chemin réaliste vers la certification pour une PME québécoise.

Lire la formation →