Formation Numérique · Module 1 · Exigences légales et standards
Loi 25 + ISO 27001:2022 + CIS Controls v8 IG1

Cartographie des outils numériques — Exigences Loi 25 et standards

L'article 3.3 exige une EFVP avant tout projet de système d'information — ce qui suppose un inventaire des systèmes existants. CIS Controls v8 IG1 place l'inventaire en priorité #1. La CAI le place en première mesure préventive 2026. Voici les obligations exactes.

Analyser mon infrastructure numérique Planifier l'accompagnement →

Contexte légal et normatif

La cartographie de l'environnement numérique n'est pas nommée explicitement dans la Loi 25, mais elle est la condition pratique de plusieurs articles centraux : politiques de gouvernance (3.2), EFVP avant projets de systèmes d'information (3.3), information sur les technologies de profilage (8.1), mesures de sécurité raisonnables (10). En janvier 2026, la Commission d'accès à l'information a publié des lignes directrices sur la prévention des incidents qui placent l'inventaire en première mesure recommandée. Les standards techniques (ISO 27001:2022, CIS Controls v8 IG1) confirment cette priorité.

Applicable à tout environnement numérique. Les obligations s'appliquent à toute organisation québécoise qui utilise des outils numériques traitant des renseignements personnels — peu importe la stack (Mac, Windows, Linux, sur site, cloud public, hybride).

Ce que vous devez retenir — version dirigeant

  • Articles 3.2, 3.3, 8.1, 10 de la Loi 25 supposent tous un inventaire structuré.
  • CAI lignes directrices janvier 2026 — l'inventaire est la première mesure préventive recommandée.
  • CIS Controls v8 IG1 place l'inventaire des actifs (#1) et des logiciels (#2) en priorité absolue.
  • ISO 27001:2022 A.5.9 — Inventory of information and other associated assets.

Ce que ça implique pour votre organisation

  • Sans inventaire, le registre des activités de traitement (art. 3.2) est partiel par construction.
  • Sans inventaire, l'EFVP requise par l'article 3.3 avant tout projet repose sur une compréhension incomplète de l'existant.
  • Sans inventaire, les mesures de sécurité (art. 10) ne peuvent pas être proportionnées au risque réel.

Ce que ça signifie concrètement pour vous

  • L'écart entre votre liste mentale et la réalité technique est en moyenne de 40 % (Gartner 2024) — vous opérez plus d'outils que vous ne pensez en gérer.
  • Le shadow IT (21 % des cyberattaques selon plusieurs études) est invisible à vos mesures de sécurité tant qu'il n'est pas inventorié.
  • La CAI a placé l'inventaire en première position de ses recommandations 2026 — ne pas l'avoir, c'est ne pas avoir mis en place les premières mesures préventives.

L'environnement numérique que vous connaissez n'est pas l'environnement numérique que vous opérez.

Cadre juridique applicable

Article 3.2 — Politiques et pratiques de gouvernance

L'article 3.2 oblige l'entreprise à établir et maintenir des politiques et pratiques encadrant la gouvernance des renseignements personnels — incluant les rôles, les responsabilités, les procédures de conservation et de destruction. Ces politiques ne peuvent pas être écrites de façon crédible sans connaître précisément les outils, les données et les flux concernés.

Article 3.3 — EFVP pour projets de systèmes d'information

L'article 3.3 exige une EFVP avant tout projet d'acquisition, de développement ou de refonte d'un système d'information traitant des renseignements personnels. Cette EFVP doit identifier les flux de données, les sensibilités, les mesures de protection — exigeant un inventaire des systèmes existants comme point de départ.

Article 8.1 — Technologies d'identification, localisation, profilage

L'article 8.1 exige une information préalable des personnes lorsque l'organisation utilise des technologies permettant de les identifier, les localiser ou les profiler — vidéosurveillance, biométrie, géolocalisation. Ces technologies doivent figurer dans l'inventaire pour être encadrées correctement.

Article 10 — Mesures de sécurité raisonnables

L'article 10 exige des mesures de sécurité « raisonnables compte tenu de la sensibilité des renseignements ». La proportionnalité de ces mesures ne peut être démontrée sans inventaire des outils, des données et de leurs niveaux de sensibilité respectifs.

Lignes directrices CAI — Prévention des incidents (janvier 2026)

La CAI a publié en janvier 2026 ses lignes directrices sur la prévention des incidents de confidentialité. La première mesure recommandée est explicite : « inventorier les renseignements personnels détenus et évaluer leur sensibilité ». L'inventaire numérique est l'outil opérationnel qui répond à cette recommandation.

Standards techniques applicables

CIS Controls v8 — Implementation Group 1 (IG1)

CIS Controls v8 est le standard de référence pour la cybersécurité des PME. Le niveau IG1 est conçu pour les organisations avec ressources limitées. Il place en priorités #1 et #2 :

  • Control 1 — Inventory and Control of Enterprise Assets : inventaire actif des appareils connectés à l'infrastructure (adresse réseau, propriétaire, statut d'approbation).
  • Control 2 — Inventory and Control of Software Assets : inventaire de tous les logiciels installés et autorisés.

ISO 27001:2022 Annex A

Les contrôles applicables à la cartographie :

  • A.5.9 — Inventory of information and other associated assets
  • A.5.10 — Acceptable use of information and other associated assets
  • A.5.23 — Information security for use of cloud services
  • A.8.1 — User endpoint devices (ordinateurs portables, mobiles)

Obligations concrètes pour les organisations

  • Recenser tous les actifs numériques (appareils, logiciels, services SaaS, BYOD) avec leurs propriétaires
  • Identifier pour chaque actif les renseignements personnels traités, leur sensibilité, leur localisation
  • Détecter le shadow IT par croisement avec les relevés bancaires et scan technique
  • Encadrer le BYOD par politique formelle (MFA forcé, effacement à distance, conditions d'usage)
  • Déclarer les technologies d'identification/profilage (article 8.1) avec l'information préalable requise
  • Mettre à jour l'inventaire à chaque changement matériel et au minimum trimestriellement
  • Documenter l'inventaire de façon datée et accessible aux audits

Exemples concrets pour une PME

Obligation : recensement complet (CIS #1, art. 10) → Exemple PME : tableau Excel ou outil dédié listant chaque actif : type (poste, mobile, SaaS, BYOD), nom, propriétaire/utilisateur, données traitées, criticité, sensibilité RP, localisation des données, date d'ajout.

Obligation : détection shadow IT → Exemple PME : revue trimestrielle des relevés des cartes corporatives par le RPRP — chaque abonnement SaaS payé est confronté à la liste officielle. Tout écart est arbitré (intégrer ou retirer).

Obligation : encadrement BYOD (art. 10) → Exemple PME : politique BYOD signée par chaque employé qui utilise un appareil personnel : MFA forcé sur le courriel, accord d'effacement à distance en cas de perte, séparation des données pro et perso via un profil dédié.

Erreur stratégique fréquente

Beaucoup d'organisations…

Beaucoup d'organisations rédigent leur registre des activités de traitement à partir de la mémoire de la direction, sans cartographie technique préalable.

Résultat :

  • Le registre omet les outils shadow IT et les BYOD — non-conformité art. 3.2 par omission
  • Une EFVP basée sur ce registre est biaisée par l'incomplétude
  • Lors d'un incident, l'écart entre le registre et la réalité aggrave la situation
  • Les mesures de sécurité (article 10) sont disproportionnées par rapport au vrai paysage

Le registre ne peut pas dépasser ce que la cartographie a révélé.

Deux réalités possibles

✗ Sans cartographie

  • Inventaire mental partiel
  • Shadow IT non détecté
  • BYOD non encadré
  • Technologies de profilage non déclarées
  • Mesures de sécurité disproportionnées

✓ Avec cartographie

  • Liste complète, datée, à jour
  • Shadow IT identifié et arbitré
  • BYOD encadré par politique
  • Technologies déclarées art. 8.1
  • Sécurité priorisée sur les vrais risques

Risques en cas de non-conformité

Sanctions juridiques

  • Sanction administrative pécuniaire (art. 90.12) — jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial
  • Amende pénale (art. 91) — de 15 000 $ à 25 M$ ou 4 % du CA mondial, doublée en récidive
  • Ordonnance de la CAI — obligation d'établir l'inventaire dans un délai prescrit
  • Impact réputationnel — un incident révélant l'absence d'inventaire est un signal de défaut de gouvernance

Coûts opérationnels

  • Mise en conformité réactive sous pression d'audit B2B (4-8 semaines en moyenne)
  • Découverte d'outils non encadrés au pire moment (en plein incident)
  • Pertes commerciales avec donneurs d'ouvrage qui exigent l'inventaire avant signature
  • Surcoût pour rectifier des choix d'outils non évalués (DPA manquants, transferts hors Québec non encadrés)

Une cartographie tenue à jour réduit ces coûts — elle ne les crée pas.

Concrètement pour une PME

Sans cartographie complète :

  • Chaque audit B2B révèle des outils non documentés — délai et stress
  • Chaque ajout d'outil par un employé crée une non-conformité invisible
  • Chaque incident est aggravé par l'incapacité à identifier rapidement les actifs concernés

Le coût vient de l'absence d'inventaire — pas de la complexité de votre stack.

Lien avec la gouvernance PRP

Le cadre du registre des activités de traitement est traité dans la Formation Gouvernance PRP, module Registres obligatoires. Ce module-ci se concentre sur la cartographie technique qui alimente ce registre — méthodologie d'inventaire, détection du shadow IT, encadrement du BYOD, alignement sur ISO 27001 et CIS Controls v8 IG1.

🛡️ Diagnostic rapide

Trois questions pour évaluer la conformité de votre cartographie :

  • Avez-vous un inventaire écrit, daté et révisé trimestriellement de tous les outils numériques?
  • Cet inventaire couvre-t-il le shadow IT (croisement avec relevés bancaires) et le BYOD?
  • Pour chaque outil, identifiez-vous les renseignements traités, leur sensibilité et leur localisation?

Si non à une seule, vous êtes probablement en non-conformité avec les articles 3.2, 3.3 et 10 — et avec les lignes directrices CAI 2026.

Analyser mon infrastructure numérique →

Concrètement

  • Vos obligations existent dès qu'un seul outil traite des renseignements personnels.
  • Mais sans inventaire structuré, ces obligations restent théoriques — donc indémontrables.
  • Ce qui transforme la situation théorique en exposition réelle, c'est le premier audit B2B, le premier incident ou la première vérification CAI.

La Formation Numérique de base et Loi 25 commence ici parce que tout le reste — fournisseurs, accès, sauvegardes, IA, cybersec, incidents — repose sur la cartographie. C'est la base technique sur laquelle s'appuie toute la conformité numérique.

En résumé

  • Articles 3.2, 3.3, 8.1, 10 de la Loi 25 supposent un inventaire structuré.
  • CAI lignes directrices 2026 — première mesure préventive recommandée.
  • CIS Controls v8 IG1 — priorités #1 et #2 (actifs et logiciels).
  • ISO 27001:2022 A.5.9 — Inventory of information and other associated assets.

Pour la version pratique

Six catégories à inventorier, méthodologie shadow IT, encadrement BYOD, exemple de tableau d'inventaire?

Voir le guide pratique →

Inventorier votre environnement numérique

L'analyse numérique inclut le recensement de votre stack avec détection du shadow IT et identification des angles morts BYOD — alignée sur les recommandations CAI 2026.

Analyser mon infrastructure numérique Planifier l'accompagnement

← Retour au plan de la formation Numérique

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.