Couverture Loi 25
Conformaze cartographie l'intégralité des obligations de la Loi 25, article par article. Pour chaque article : ce que la loi exige, la fonctionnalité qui le couvre, et la preuve produite — au même endroit, pour que rien ne tombe entre deux fichiers Excel.
Pourquoi un suivi Excel/SharePoint laisse passer des obligations — même quand l'équipe est sérieuse.
Chaque équipe garde sa portion — légal, IT, RH, opérations. Le jour où la CAI ou un client demande une vue d'ensemble, vous courez après les fichiers.
Vous avez approuvé un traitement, signé un DPA, validé une EFVP. Mais reconstituer la chaîne complète six mois plus tard relève de l'archéologie.
Une politique adoptée en 2023, un sous-traitant rajouté l'an dernier, un transfert ouvert sans réévaluation — rien ne vous prévient que c'est à revoir.
Quand la direction ou la CAI demande « où en est-on sur la Loi 25 ? », personne ne peut répondre en cinq minutes avec un chiffre fiable.
Tout ce qui touche la Loi 25 — décisions, preuves, échéances — au même endroit, relié et tracé.
Toutes vos obligations Loi 25 — registre, EFVP, DPA, transferts, DSAR, incidents — dans un même endroit, reliées entre elles.
Chaque création, modification, approbation est horodatée et attribuée. La preuve se constitue à mesure que votre équipe travaille.
Visualisez ce qui est couvert, ce qui est en cours, ce qui manque — par obligation et par responsable.
Un export consolidé, signé et défendable. Pour la CAI, pour la direction, pour un client qui exige des preuves de conformité.
Article par article
Pour chaque article : l'obligation en langage clair, la (les) fonctionnalité(s) qui la couvre(nt), et la preuve produite par la plateforme.
Désigner un RPRP, documenter son mandat et publier ses coordonnées sur votre site.
Encadrer les rôles, responsabilités et délégations en matière de protection des renseignements personnels.
Réaliser une EFVP avant tout projet d'acquisition, développement ou refonte impliquant des renseignements personnels.
Établir, publier et tenir à jour des politiques encadrant la protection des renseignements personnels.
Tenir un registre des incidents et notifier la CAI ainsi que les personnes concernées en cas de risque sérieux de préjudice.
Déterminer les finalités d'un traitement de renseignements personnels avant de le mettre en œuvre.
Informer la personne, au moment de la collecte, des finalités, catégories de tiers, droits et moyens de les exercer.
Recueillir un consentement valable lorsque requis et démontrer qu'il a été obtenu.
Tenir un registre documentant chaque traitement : finalités, données, durée de conservation, destinataires, mesures de sécurité.
Détruire ou anonymiser les renseignements personnels une fois la finalité atteinte.
Encadrer toute communication à un sous-traitant par une entente écrite conforme.
Procéder à une évaluation des facteurs relatifs à la vie privée avant tout transfert hors Québec.
Informer la personne, lui permettre de présenter ses observations et lui donner la possibilité de demander une révision.
Donner accès aux renseignements personnels d'une personne dans un délai de 30 jours.
Corriger les renseignements personnels inexacts, incomplets ou équivoques sur demande.
Communiquer, sur demande et dans un format technologique structuré couramment utilisé, les renseignements personnels recueillis.
Cesser la diffusion ou désindexer les renseignements personnels lorsque les conditions légales sont réunies.
Mettre en place des mesures de sécurité proportionnées au risque et démontrer le respect de la Loi sur demande.
Désigner un RPRP, documenter son mandat et publier ses coordonnées sur votre site.
Mandat documenté, coordonnées publiées, journal des décisions du RPRP.
Encadrer les rôles, responsabilités et délégations en matière de protection des renseignements personnels.
Cadre de gouvernance versionné, RACI assignés, approbations tracées.
Réaliser une EFVP avant tout projet d'acquisition, développement ou refonte impliquant des renseignements personnels.
EFVP archivée, horodatée, signée et liée au traitement concerné dans le registre.
Établir, publier et tenir à jour des politiques encadrant la protection des renseignements personnels.
Politiques versionnées, datées, approuvées et publiées sur votre site.
Tenir un registre des incidents et notifier la CAI ainsi que les personnes concernées en cas de risque sérieux de préjudice.
Dossier d'incident complet (faits, évaluation du préjudice, mesures), registre conservé 5 ans, notifications horodatées.
Déterminer les finalités d'un traitement de renseignements personnels avant de le mettre en œuvre.
Finalités documentées par traitement dans le registre, versionnées et approuvées.
Informer la personne, au moment de la collecte, des finalités, catégories de tiers, droits et moyens de les exercer.
Mentions de collecte versionnées, liées au traitement, exportables pour tout audit.
Recueillir un consentement valable lorsque requis et démontrer qu'il a été obtenu.
Inventaire des points de consentement, preuves horodatées, journal des retraits.
Tenir un registre documentant chaque traitement : finalités, données, durée de conservation, destinataires, mesures de sécurité.
Registre versionné, horodaté, exportable en PDF avec signature du responsable désigné.
Détruire ou anonymiser les renseignements personnels une fois la finalité atteinte.
Durée de conservation par traitement, alertes d'échéance, traces de destruction.
Encadrer toute communication à un sous-traitant par une entente écrite conforme.
DPA centralisés, statut suivi, lien direct avec les traitements concernés.
Procéder à une évaluation des facteurs relatifs à la vie privée avant tout transfert hors Québec.
Évaluation par pays, mécanisme de protection documenté, lien vers le DPA correspondant.
Informer la personne, lui permettre de présenter ses observations et lui donner la possibilité de demander une révision.
Registre des systèmes décisionnels, niveau de supervision humaine, journal des révisions demandées.
Donner accès aux renseignements personnels d'une personne dans un délai de 30 jours.
Dossier DSAR horodaté, accusé de réception, réponse, preuve d'envoi.
Corriger les renseignements personnels inexacts, incomplets ou équivoques sur demande.
Dossier de rectification avec avant/après, traces des correctifs propagés.
Communiquer, sur demande et dans un format technologique structuré couramment utilisé, les renseignements personnels recueillis.
Export portabilité généré, horodaté et tracé dans le dossier DSAR.
Cesser la diffusion ou désindexer les renseignements personnels lorsque les conditions légales sont réunies.
Dossier de suppression avec décision motivée et trace de l'action.
Mettre en place des mesures de sécurité proportionnées au risque et démontrer le respect de la Loi sur demande.
Contrôles de sécurité documentés, piste d'audit horodatée et exportable, dossier de conformité défendable.
Liste indicative des principales obligations. La Loi sur le secteur privé contient d'autres dispositions ; Conformaze couvre les modules associés. Pour une lecture intégrale, consultez le texte officiel sur LégisQuébec.
Le bilan gratuit Conformaze pose les bonnes questions pour cartographier votre situation actuelle face aux obligations Loi 25 — sans engagement, en quelques minutes. Vous obtenez une lecture par catégorie d'obligation, les écarts identifiés et un plan d'action priorisé.
Faire votre bilan gratuitUne plateforme conçue article par article, pour que chaque exigence de la Loi 25 ait son module, sa fonctionnalité et sa preuve.