Excel suffit-il vraiment pour la Loi 25 ?
Depuis septembre 2023, la CAI peut imposer des amendes jusqu'à 25 M$ sans passer par les tribunaux. La plupart des PME documentent encore leur conformité avec Excel et Word. Voici pourquoi cette approche vous expose — article par article.
Délai dépassé : les sanctions sont applicables depuis le 22 septembre 2023.
60+
articles de loi couverts (Loi 25 + RGPD)
18
modules de conformité intégrés
93
contrôles ISO 27002 documentables
30 min
pour une mise en place initiale
Obligation par obligation
Chaque article de la Loi 25 impose des exigences précises. Voici ce que ça donne concrètement avec une solution maison vs Conformaze.
Registre des activités de traitement (ROPA)
Chiffrier Excel avec colonnes manuelles, aucun lien entre les traitements, les actifs et les acteurs. Pas de versionnement ni de piste d'audit.
Registre structuré avec liens automatiques entre traitements, actifs, acteurs et finalités. Versionnement, piste d'audit immuable et détection de dérive.
Risque : La CAI exige un registre tenu à jour avec l'historique des modifications. Un fichier Excel ne peut pas prouver quand et par qui une donnée a été modifiée.
Évaluation des facteurs relatifs à la vie privée (EFVP)
Document Word de 20+ pages copié-collé d'un gabarit. Aucun lien avec le registre ROPA. Impossible de prouver l'état des données au moment de l'évaluation.
EFVP structurée avec pré-remplissage depuis le ROPA, instantanés immuables des données, scoring des 8 principes CAI et plans de remédiation intégrés.
Risque : L'EFVP doit refléter fidèlement les traitements réels. Un document Word détaché du registre peut contenir des informations obsolètes sans que personne ne le sache.
Registre des incidents de confidentialité
Notification par courriel, suivi dans un fichier Excel ou un ticket dans un outil de billetterie. Pas de calcul de risque de préjudice sérieux ni de suivi des notifications à la CAI.
Workflow complet avec matrice de risque, évaluation du préjudice sérieux, suivi des notifications CAI et registre des incidents mineurs (obligatoire Loi 25).
Risque : La Loi 25 exige un registre de TOUS les incidents, même mineurs, conservé pendant au moins 5 ans. Un ticket fermé dans un outil de billetterie ne constitue pas un registre conforme.
Consentement et avis de collecte
Politique de confidentialité en PDF sur le site web. Aucun lien entre les points de consentement et les traitements réels. Pas de preuve de consentement.
Registre des points de consentement liés aux finalités ROPA, inventaire de cookies, capture et archivage des preuves de consentement.
Risque : La CAI peut demander de prouver que le consentement a été obtenu pour un traitement spécifique. Sans traçabilité, c'est votre parole contre celle du plaignant.
Systèmes de décision automatisée (SDA)
Aucune documentation. La plupart des PME ne savent même pas qu'elles utilisent des décisions automatisées (filtres RH, scoring clients, etc.).
Registre dédié aux systèmes IA/SDA avec documentation de la logique algorithmique, niveaux de supervision humaine et droit d'intervention.
Risque : Depuis septembre 2023, toute décision fondée exclusivement sur un traitement automatisé doit être divulguée à la personne concernée. L'absence de registre est une infraction directe.
Transferts de renseignements hors Québec
Une case « Oui/Non » dans le chiffrier ROPA, sans évaluation de risque ni documentation du cadre juridique du pays destinataire.
Évaluation de risque intégrée par transfert, documentation du cadre juridique, lien avec l'EFVP et traçabilité complète.
Risque : L'Art. 17 exige une évaluation AVANT le transfert. Une simple case cochée dans Excel ne constitue pas une évaluation au sens de la loi.
Demandes d'accès et d'exercice des droits (DSAR)
Demandes reçues par courriel ou Microsoft Forms, suivies dans un logiciel de gestion de tickets. Pas de calcul SLA 30 jours, pas de mécanisme de pause/prolongation, pas de vérification d'identité documentée.
Portail de soumission dédié, compteur SLA 30 jours avec pause/reprise et prolongation unique, vérification d'identité traçable, liaison automatique avec les traitements ROPA concernés.
Risque : Le délai de 30 jours court dès la réception. Sans compteur automatique, un dépassement involontaire constitue une infraction. Les outils de billetterie ne gèrent pas les spécificités Loi 25 (pause, prolongation).
Ce que ça coûte vraiment
Le « gratuit » d'Excel a un prix caché. Voici un estimé réaliste pour une PME de 50 employés.
| Poste de coût | Solution maison | Conformaze |
|---|---|---|
| Mise en place initiale (gabarits Excel, procédures Word, formulaires, politique) | 80–120 heures (interne ou consultant à 150 $/h) | Inclus — prêt à utiliser en 30 minutes |
| Maintenance annuelle (mises à jour, formation, suivi des versions) | 40–80 heures/an | Inclus dans l'abonnement |
| Accompagnement consultant/cabinet (audit, révision annuelle) | 5 000 $ – 15 000 $/an | Réduit de 60–80 % grâce à l'automatisation |
| Préparation pour un contrôle CAI | 40–80 heures de rassemblement de preuves ad-hoc | Exportation complète en quelques clics |
| Coût d'une non-conformité (amende CAI) | Jusqu'à 25 M$ ou 4 % du CA mondial | — |
| Coût annuel total estimé | 18 000 $ – 35 000 $+ (heures internes + consultant) | À partir de 1 068 $/an (89 $/mois) |
* Estimations basées sur une PME de 50 employés, secteur services. Taux horaire interne estimé à 45 $/h, consultant externe à 150 $/h.
Les risques que vous ne voyez pas
Une solution maison crée des angles morts invisibles jusqu'au jour d'un contrôle ou d'un incident.
Dispersion des documents
Registre ROPA dans un dossier SharePoint, EFVP dans un autre, incidents dans un outil de billetterie, consentement nulle part. En cas de contrôle CAI, rassembler les preuves prend des semaines.
Aucune piste d'audit
Excel ne journalise pas qui a modifié quoi et quand. Devant la CAI, vous ne pouvez pas prouver la date de mise à jour de votre registre.
Pas de détection de dérive
Un sous-traitant change ses conditions, un actif est décommissionné — votre chiffrier reste figé. Personne ne voit que votre registre est obsolète.
Dépassement de délais invisible
Sans compteur automatique, une demande d'accès de 30 jours glisse facilement. Chaque jour de retard est une infraction potentielle.
Erreurs de version
Quel fichier est le bon ? « ROPA_v3_final_FINAL_corrigé.xlsx » — les erreurs de version sont la norme, pas l'exception.
Impossible de prouver la conformité
La CAI ne vous demande pas si vous êtes conforme — elle vous demande de le prouver. Des fichiers éparpillés ne constituent pas une preuve structurée.
Scénario : une demande d'accès arrive
PME de 50 employés, secteur services professionnels. Un client demande l'accès à tous ses renseignements personnels.
Avec Excel + outil de tickets
- 1
Le courriel arrive dans la boîte générale. Personne ne sait exactement qui doit le traiter.
- 2
Quelqu'un crée un ticket dans l'outil de billetterie. Le compteur de 30 jours n'est pas activé.
- 3
Le responsable cherche dans 4 fichiers Excel différents pour identifier quels traitements touchent ce client.
- 4
Il rédige la réponse dans Word, l'envoie par courriel. Pas de preuve d'envoi ni de suivi.
- 5
Jour 35 : la personne relance. Le délai est dépassé. Personne ne s'en était rendu compte.
Avec Conformaze
- 1
La demande arrive via le portail dédié. Le compteur SLA de 30 jours démarre automatiquement.
- 2
Le système identifie automatiquement les traitements ROPA concernés et le responsable désigné.
- 3
La vérification d'identité est documentée. Le dossier est complet et traçable.
- 4
La réponse est envoyée depuis la plateforme avec preuve horodatée.
- 5
Jour 25 : alerte automatique. Le dossier est clôturé dans les délais avec piste d'audit complète.
Questions fréquentes
Les réponses aux questions que se posent la plupart des PME québécoises sur la Loi 25.
La Loi 25 s'applique-t-elle à ma PME ?
Oui. La Loi 25 s'applique à toute entreprise au Québec qui collecte, utilise ou communique des renseignements personnels — quelle que soit sa taille. Les seules exceptions concernent un usage strictement personnel. Si vous avez des clients, des employés ou des fournisseurs, vous êtes concerné.
Quelles sont les amendes possibles en cas de non-conformité ?
Les amendes administratives peuvent atteindre 10 M$ ou 2 % du chiffre d'affaires mondial. Les amendes pénales vont jusqu'à 25 M$ ou 4 % du CA mondial. Les dirigeants peuvent aussi être tenus personnellement responsables. Depuis septembre 2023, la CAI peut imposer des sanctions sans passer par les tribunaux.
Combien de temps faut-il pour se mettre en conformité ?
Avec une approche Excel/Word, comptez 3 à 6 mois de travail à temps partiel pour une PME de 50 employés. Avec Conformaze, le cadre de base est en place en quelques jours et la conformité documentée complète est atteignable en 4 à 8 semaines.
Ai-je besoin d'un responsable de la protection des renseignements personnels (RPRP) ?
Oui, la Loi 25 exige que chaque organisation désigne un RPRP. Par défaut, c'est la personne ayant la plus haute autorité (PDG, DG). Vous pouvez déléguer ce rôle par écrit à un employé ou un consultant externe — Conformaze vous aide à documenter cette délégation.
Excel ne suffit-il pas pour documenter notre conformité ?
Excel peut servir de point de départ, mais il ne fournit pas de piste d'audit immuable, de versionnement automatique, de liens entre vos traitements et vos évaluations, ni de compteur de délais légaux. En cas de contrôle de la CAI, ces lacunes deviennent des risques concrets.
Qu'est-ce qu'une EFVP et quand dois-je en faire une ?
Une Évaluation des Facteurs relatifs à la Vie Privée (EFVP) est obligatoire avant tout projet impliquant des renseignements personnels — nouveau système, nouveau fournisseur, nouveau traitement. La CAI exige une évaluation documentée des risques et des mesures de mitigation.
Conformaze couvre-t-il aussi le RGPD européen ?
Oui. Conformaze est conçu pour la Loi 25 et le RGPD. Les modules sont alignés sur les deux cadres réglementaires — registre ROPA (Art. 30 RGPD), DPIA (Art. 35 RGPD), DSAR (Art. 15-22 RGPD), transferts internationaux (Art. 44-49 RGPD) et mesures de sécurité (ISO 27002).
Que se passe-t-il en cas d'incident de confidentialité ?
La Loi 25 exige de consigner TOUT incident de confidentialité (même mineur) dans un registre conservé 5 ans. Si le risque de préjudice sérieux est présent, vous devez aviser la CAI et les personnes concernées. Conformaze structure ce processus avec matrice de risque et suivi des notifications.
Quelle est la différence entre un consultant et Conformaze ?
Un consultant apporte l'expertise et le conseil stratégique. Conformaze fournit les outils pour exécuter et prouver la conformité au quotidien. Les deux sont complémentaires — en fait, Conformaze réduit de 60 à 80 % le temps passé par votre consultant sur les tâches de documentation.
Combien coûte la non-conformité au-delà des amendes ?
Au-delà des amendes, les conséquences incluent : atteinte à la réputation, perte de contrats (de plus en plus de clients exigent la conformité), coûts de gestion de crise en cas d'incident, et responsabilité personnelle des dirigeants. Le coût réel dépasse largement le montant de l'amende.