Quelles sont les u00e9tapes pour se conformer u00e0 la Loi 25?

En 10 u00e9tapes : (1) du00e9signer le RPRP, (2) auditer le site web, (3) corriger la banniu00e8re de consentement, (4) ru00e9diger la politique de confidentialitu00e9, (5) cru00e9er le registre des incidents, (6) u00e9tablir le processus DSAR, (7) cartographier les donnu00e9es, (8) u00e9tablir la politique de ru00e9tention, (9) signer les DPA avec les prestataires hors Quu00e9bec, (10) instaurer la surveillance continue.

Combien de temps faut-il pour se conformer u00e0 la Loi 25?

Les u00e9tapes urgentes (RPRP, banniu00e8re, registre) peuvent u00eatre complu00e9tu00e9es en 2-4 semaines avec SiteQC. La conformitu00e9 complu00e8te (inventaire des donnu00e9es, DPA prestataires, politique de ru00e9tention, formation) prend gu00e9nu00e9ralement 3 u00e0 6 mois pour une PME. La surveillance continue est permanente , la conformitu00e9 n'est pas un projet ponctuel.

Une petite entreprise peut-elle se conformer seule u00e0 la Loi 25?

Oui, avec les bons outils. SiteQC automatise la majoritu00e9 des obligations : banniu00e8re de consentement, registre des incidents, politique de confidentialitu00e9, portail DSAR. Le RPRP peut u00eatre le propriu00e9taire lui-mu00eame. Une PME de 5 employu00e9s sur SiteQC peut u00eatre conforme u00e0 la Loi 25 sans avocat ni consultant externe.

Comment se conformer u00e0 la Loi 25 au Quu00e9bec avec SiteQC?

SiteQC adresse les 10 u00e9tapes de conformitu00e9 Loi 25 nativement : hu00e9bergement Beauharnois QC (hors CLOUD Act), banniu00e8re CAI-conforme intu00e9gru00e9e, registre des incidents automatique, politique de confidentialitu00e9 auto-gu00e9nu00e9ru00e9e, portail DSAR, IA en enclaves TEE. Migrez vers SiteQC et votre conformitu00e9 Loi 25 de base est acquise immu00e9diatement.

15 min

Leçon 6.4 : Votre plan d’action en 10 étapes pour se conformer à la Loi 25

De la théorie à l’action : votre checklist complète

Vous avez parcouru les 6 modules de cette formation. Il est temps de passer à l’action. Voici le plan en 10 étapes concrètes pour mettre votre organisation en conformité avec la Loi 25, dans l’ordre de priorité recommandé par la CAI.

Étape 1 : Désigner votre RPRP (immédiatement)

Si ce n’est pas déjà fait : désignez formellement un RPRP par écrit, publiez ses coordonnées sur votre site web. Délai légal : depuis septembre 2022, si vous ne l’avez pas fait, vous êtes en violation depuis plus de 2 ans.

Étape 2 : Auditer votre site web

Faites un audit de conformité : quels scripts se chargent avant le consentement? Avez-vous une bannière avec boutons Accepter/Refuser de même poids visuel? Avez-vous une politique de confidentialité? Utilisez l’outil d’audit SiteQC gratuit.

Étape 3 : Corriger votre bannière de consentement

Si votre bannière ne respecte pas les 6 critères de la CAI : migrez vers une solution conforme. Priorité absolue, c’est le premier élément visible lors d’un audit et la violation la plus facilement prouvée.

Étape 4 : Rédiger ou mettre à jour votre politique de confidentialité

Adaptez votre politique aux 7 éléments obligatoires de la Loi 25. Nommez tous vos prestataires tiers (Stripe, Mailchimp, Google). Indiquez les pays de traitement. Versionner et archiver.

Étape 5 : Mettre en place votre registre des incidents

Créez votre registre (fichier numérique sécurisé ou outil comme SiteQC). Formez votre équipe à y consigner tout incident dès qu’il est découvert. La CAI peut le demander sans préavis.

Étape 6 : Établir votre processus DSAR

Créez un formulaire de demande d’accès sur votre site. Définissez le processus interne (qui reçoit, qui traite, qui répond). Mettez en place le suivi des délais de 30 jours.

Étape 7 : Réaliser votre inventaire des données

Cartographiez toutes les données personnelles que vous collectez : type, finalité, lieu de stockage, durée de conservation, tiers ayant accès. Cet inventaire est la base de votre conformité continue.

Étape 8 : Établir votre politique de rétention

Définissez des durées de conservation par catégorie de données. Mettez en place des purges automatiques ou des rappels de révision. Documentez la politique et formez les équipes.

Étape 9 : Signer les DPA avec vos prestataires hors Québec

Pour chaque prestataire établi hors Québec (Stripe, Google, Mailchimp, Salesforce) : vérifiez s’il propose un DPA, signez-le, archivez-le. Réalisez une ÉFVP documentée pour chacun.

Étape 10 : Instaurer la surveillance continue

La conformité n’est pas un projet ponctuel. Mettez en place une revue annuelle de conformité, abonnez-vous aux communiqués de la CAI.

SiteQC : votre partenaire de conformité intégré

SiteQC est la seule plateforme québécoise qui adresse les 10 étapes de ce plan d’action nativement. Pas de plugins tiers à configurer, pas d’ÉFVP supplémentaire pour l’hébergement, pas de risque CLOUD Act. Une seule plateforme, une conformité Loi 25 complète, des données hébergées à Beauharnois, Québec.

Points clés

Urgent (0-30 jours) : Désigner RPRP, corriger bannière, mettre en place le registre.
Court terme (1-3 mois) : Politique de confidentialité, processus DSAR, inventaire des données.
Moyen terme (3-6 mois) : Politique de rétention, DPA prestataires, formation équipes.
Continu : Surveillance, revue annuelle, mise à jour selon évolutions de la CAI.