Comment pouvons-nous vous aider ?

Oui, si votre organisation collecte, détient, utilise ou communique des renseignements personnels dans le cadre de l'exploitation d'une entreprise au Québec. Les obligations varient en intensité selon le profil de risque des traitements, mais elles s'appliquent à toutes les organisations, sans seuil de taille.

Non. La Loi 25 s'applique à tous les renseignements personnels que votre organisation détient — vos clients, mais aussi vos employés (dossiers RH, paie, évaluations de performance), vos fournisseurs et partenaires (coordonnées, ententes contractuelles), et toute autre personne physique identifiable avec qui vous faites affaire. Beaucoup d'organisations focalisent leur effort sur leur CRM ou leurs outils d'analyse, et oublient de documenter les traitements liés aux ressources humaines, à la gestion des contrats ou à la logistique. La Loi 25 couvre l'ensemble.

Les obligations clés incluent : désigner un Responsable de la protection des renseignements personnels (RPRP), tenir un registre des activités de traitement, réaliser une EFVP (Évaluation des facteurs relatifs à la vie privée) pour les projets à risque élevé, publier une politique de confidentialité, gérer les incidents de confidentialité avec notification à la CAI, et respecter les droits des personnes — accès, rectification, portabilité et retrait du consentement. Ces obligations ont été déployées progressivement entre 2022 et 2024.

Non. Ces deux éléments sont nécessaires, mais ils ne couvrent que votre présence web. La Loi 25 exige aussi : un registre documenté de vos activités de traitement, des EFVP pour les projets à risque élevé, des ententes contractuelles avec vos sous-traitants qui traitent des renseignements personnels, la désignation d'un RPRP, une procédure de gestion des incidents avec notification à la CAI, et le respect des droits des personnes. Le bandeau de cookies gère le consentement sur votre site — Conformaze couvre la gouvernance de l'ensemble de votre organisation.

Oui. Ces outils transmettent des renseignements personnels (adresse IP, identifiants de navigateur, comportements de navigation) à des tiers situés hors Québec — notamment aux États-Unis. Cela constitue une communication de renseignements personnels à un sous-traitant étranger, ce qui déclenche plusieurs obligations : informer vos visiteurs dans votre politique de confidentialité, obtenir leur consentement avant d'activer ces traceurs, et documenter ce transfert dans votre registre. La configuration d'anonymisation partielle ne suffit pas à exonérer votre organisation de ces obligations.

Oui. La Loi 25 oblige toute organisation à encadrer contractuellement les tiers à qui elle confie des renseignements personnels — hébergeurs, logiciels SaaS, agences, consultants, et tout autre prestataire ayant accès à ces données. Ces ententes (souvent appelées DPA — Data Processing Agreement) doivent notamment préciser les finalités du traitement, les mesures de sécurité attendues, et les conditions de destruction des données. En l'absence de telles ententes, votre organisation reste responsable des manquements de ses sous-traitants. Conformaze centralise la gestion de ces contrats et leur état de signature.

Le point de départ le plus utile est de comprendre votre situation actuelle : notre bilan de maturité gratuit (12 questions, quelques minutes) vous donne une première lecture par domaine. Ensuite, la démarche typique commence par la cartographie des données personnelles, identifier ce qui circule dans votre organisation, puis la constitution du registre des activités de traitement. Conformaze guide l'ordre des étapes dans son parcours d'onboarding, adapté à votre profil.

Un registre conforme à la Loi 25 ne documente pas des champs de données — il documente des décisions : pourquoi ces renseignements sont collectés, sur quelle base légale, qui en est responsable, combien de temps ils sont conservés, quelles mesures de sécurité les protègent. Ce sont des jugements organisationnels qui exigent l'implication de responsables métier, juridiques et techniques. Conformaze structure ce travail collectif — il ne le remplace pas.

Un outil de cartographie documente ce qui existe dans vos systèmes — les flux de données, les applications, les connexions techniques. C'est une image de votre environnement. Conformaze sert à documenter pourquoi ces renseignements existent, si leur traitement est justifié, pour quelle finalité, sur quelle base légale, et jusqu'à quand — des décisions qui appartiennent à votre organisation. C'est précisément cette couche de gouvernance que la Loi 25 exige : un registre de traitements avec leurs bases légales, leurs responsables et leurs durées de conservation.

Prouver sa conformité, c'est être en mesure de démontrer à la CAI ou à toute partie prenante que votre organisation a pris des mesures raisonnables et documentées pour protéger les renseignements personnels. Cela implique un registre à jour, des EFVP pour les projets à risque, des contrats DPA avec vos sous-traitants, et une piste d'audit traçable. Conformaze structure et conserve ces preuves.

Non — et nous refusons de tenir ce discours. Conformaze est un outil de documentation, de suivi et de preuve. C'est votre équipe qui prend les décisions, documente les justifications et applique les bonnes pratiques. La conformité est une démarche continue que vous bâtissez — Conformaze vous donne les bons outils pour le faire sérieusement.

Non. Conformaze est conçu pour être utilisable par des équipes non spécialisées, avec des guides et des structures claires. Cela dit, pour des projets complexes (transferts internationaux, EFVP à enjeux élevés, incidents avec impact significatif), l'avis d'un conseiller ou avocat spécialisé reste précieux. Conformaze structure votre travail — il ne remplace pas le jugement expert.