Vous avez une question ? Nous avons une réponse.
Un audit identifie les failles de sécurité et les risques cachés. Votre site peut sembler normal, mais transmettre ou stocker des données de façon non conforme à la Loi 25, ou exposer vos visiteurs à des fuites. Un audit préventif corrige les problèmes avant qu’ils ne deviennent coûteux.
Chaque rapport inclut un score global et un plan de correctifs priorisés.
Rapport exécutif gratuit : Nous offrons un rapport exécutif gratuit pour vous aider à démarrer votre diagnostic numérique.
Le coût d'un audit complet dépend de :
Nos tarifs sont adaptés aux PME québécoises. Demandez un devis gratuit pour une estimation personnalisée selon vos besoins spécifiques.
Selon la complexité, l’audit dure de 24 à 72 heures. Vous recevez un rapport détaillé avec un score de souveraineté, un score Loi 25 et des recommandations précises.
Oui. L’hébergement local ne garantit ni la conformité Loi 25 ni la sécurité. Des outils externes peuvent transférer des données à l’étranger. L’audit vérifie ces transferts invisibles et votre niveau réel de souveraineté.
L’audit évalue votre conformité et identifie les correctifs nécessaires. Il ne rend pas conforme automatiquement, mais constitue la première étape essentielle. Nous vous guidons vers les mesures à appliquer pour atteindre la conformité complète.
Oui. L’absence de problème visible ne signifie pas absence de failles. Les attaques exploitent souvent des faiblesses de configuration ou d’intégrations. Un audit préventif coûte bien moins cher qu’une fuite de données.
Non. Nos services sont pensés pour PME, OBNL et indépendants. Toute organisation collecte des données (formulaires, cookies, statistiques), qui doivent être protégées avec sérieux.
Remplissez le formulaire de diagnostic gratuit. Nous analysons vos besoins et vous recevez un premier rapport d'évaluation sous 48 heures.
La Commission d'accès à l'information du Québec (CAI) est l'organisme responsable de surveiller l'application de la Loi 25 et de protéger vos droits en matière de renseignements personnels.
Voici les principales lois et réglementations qui encadrent la protection des renseignements personnels au Québec :
Votre entreprise est responsable de protéger les renseignements personnels qu'elle recueille, détient, utilise, communique et conserve.
Responsable par défaut
La personne ayant la plus haute autorité dans l'entreprise, par exemple son dirigeant, est par défaut responsable de la protection des renseignements personnels. Elle exerce cette fonction en assurant le respect et la mise en œuvre de la Loi sur le privé.
Cette fonction peut cependant être déléguée par écrit, en tout ou en partie, à une personne en mesure d'assumer efficacement ce rôle. Dans ce cas, la Commission recommande de désigner une personne ayant les compétences requises et un pouvoir décisionnel important.
Même en cas de délégation, la personne ayant la plus haute autorité demeure imputable quant au respect et à la mise en œuvre de la Loi dans son entreprise. La personne ayant la plus haute autorité doit appuyer la personne à qui elle délègue ses fonctions en lui fournissant les ressources humaines, techniques et financières nécessaires pour assumer pleinement ses fonctions.
Le titre et les coordonnées du responsable de la protection des renseignements personnels doivent être publiés sur le site Web de l'entreprise. En l'absence d'un site Web, l'entreprise doit en informer le public par tout autre moyen approprié. La Commission n'a pas à en être informée.
1. Approuver les politiques et les pratiques de l'entreprise
Le responsable doit approuver les politiques et les pratiques de l'entreprise encadrant sa gouvernance à l'égard des renseignements personnels dans l'entreprise.
2. Répondre aux demandes d'accès et de rectification
Le responsable de la protection des renseignements personnels est chargé de recevoir et d'assurer le traitement des demandes d'accès ou de rectification de renseignements personnels. Il fait de même pour les demandes d'accès, pour des motifs de deuil, aux renseignements personnels d'une personne décédée.
Le responsable doit évaluer les demandes d'accès et de rectification et y répondre dans les 30 jours. L'absence de réponse dans ce délai équivaut à un refus. Un citoyen peut contester un refus ou une réponse jugée insatisfaisante en exerçant son droit de recours devant la Commission.
Lorsque la demande n'est pas suffisamment précise ou si le requérant le demande, le responsable doit prêter assistance pour identifier les renseignements recherchés.
Lorsqu'il refuse une demande d'accès ou de rectification, le responsable doit :
3. Communiquer des renseignements dans un format technologique (droit à la portabilité)
Le droit à la portabilité permet à toute personne qui le demande d'obtenir ses renseignements personnels informatisés, dans un format technologique structuré et couramment utilisé. Ceux-ci doivent cependant avoir été recueillis auprès d'elle.
Les entreprises ont l'obligation de s'assurer que tout nouveau projet d'acquisition, de développement ou de refonte d'un système d'information ou de prestation électronique de services permette la communication de renseignements personnels informatisés dans un format technologique structuré et couramment utilisé.
La procédure à suivre pour répondre à une personne demandant à obtenir dans un format technologique structuré et couramment utilisé la communication de ses renseignements personnels informatisés est la même que pour toute demande d'accès et de rectification. Le délai à respecter pour répondre à une telle demande est également de 30 jours.
4. Répondre aux demandes de cessation de diffusion, de désindexation et de réindexation
Le responsable devra répondre aux demandes écrites des personnes exigeant :
Le responsable devra répondre par écrit à cette demande, selon les mêmes modalités que les demandes d'accès et de rectification.
5. Participer à l'évaluation des facteurs relatifs à la vie privée (ÉFVP)
Le responsable doit participer à l'évaluation des facteurs relatifs à la vie privée des projets d'acquisition, de développement et de refonte d'un système d'information ou de prestation électronique de services impliquant des renseignements personnels, et ce, dès le départ.
6. Recevoir et traiter les avis de violation d'obligations de confidentialité des mandataires
Les mandataires ou exécutants d'un contrat de service ou d'entreprise doivent aviser sans délai le responsable de la protection des renseignements personnels concernant toute violation ou tentative d'une violation de l'une ou l'autre des obligations touchant à la confidentialité des renseignements personnels qui leur ont été communiqués par l'entreprise.
7. Participer à l'évaluation des préjudices causés par un incident de confidentialité
Lorsqu'elle évalue le risque qu'un préjudice soit causé aux personnes concernées à la suite d'un incident de confidentialité, une entreprise doit consulter son responsable de la protection des renseignements personnels.
Les entreprises doivent établir et mettre en œuvre des politiques et des pratiques de gouvernance pour protéger les renseignements personnels.
Ces politiques et ces pratiques doivent minimalement prévoir :
Ces politiques et ces pratiques doivent être proportionnelles à la nature et à l'importance des activités de l'entreprise.
Les entreprises doivent faire connaître leurs politiques et leurs pratiques dans leur site Web. L'information publiée à ce sujet doit être détaillée et expliquée en termes simples et clairs. En l'absence d'un site Web, l'entreprise doit informer le public par tout autre moyen approprié.
Cette question touche un enjeu réel pour de nombreuses organisations. En tant que responsable des renseignements personnels (RPRP), vous pourriez être appelé à répondre à des questions techniques de la Commission d'accès à l'information (CAI) lors d'une enquête ou d'une vérification de conformité.
Notre audit peut vous aider à :
Si vous n'êtes pas à l'aise avec les aspects techniques :
Notre équipe peut vous accompagner en cas de questionnement de la CAI. Nous pouvons vous fournir des explications claires et des réponses documentées basées sur notre audit, afin que vous puissiez répondre aux questions techniques avec assurance.
L'objectif est de vous donner les outils et la confiance nécessaires pour assumer votre rôle de RPRP de manière efficace, même face à des questions techniques complexes.
Dans certaines situations impliquant des renseignements personnels, une entreprise doit réaliser une évaluation des facteurs relatifs à la vie privée (EFVP). Cette obligation vise évidemment à mieux protéger le droit fondamental des citoyens à la vie privée.
L'EFVP est une démarche préventive et évolutive visant à mieux protéger les renseignements personnels et à mieux respecter la vie privée des personnes. Ce droit fondamental est protégé par la Charte des droits et libertés de la personne.
Concrètement, l'EFVP est une analyse d'impact. Avant d'entamer un projet et au cours de celui-ci, cette démarche permet de considérer tous les facteurs ayant un effet positif ou négatif sur le respect de la vie privée des personnes concernées.
Ces facteurs sont :
L'EFVP a pour objectifs :
La réalisation d'une EFVP doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.
L'organisation réalisant une EFVP démontre qu'elle assume ses responsabilités quant à la protection des renseignements personnels.
En 2018, un sondage Léger Marketing réalisé pour la Commission a révélé que 91 % des Québécois accordaient de l'importance à la protection de leurs renseignements personnels et auraient fait davantage affaire avec une entreprise possédant une bonne réputation en la matière. Plus récemment, en 2022-2023, un sondage mené par le Commissariat à la protection de la vie privée du Canada dévoilait que la grande majorité (93 %) des répondants sont préoccupés par la protection de leur vie privée.
Vous devez réaliser une EFVP dans trois situations. Au-delà de ces situations, la Commission recommande cette pratique à toute organisation ayant un projet mettant en cause des renseignements personnels.
1. Communication d'un renseignement personnel à l'extérieur du Québec
Votre entreprise doit procéder à une EFVP avant de :
2. Projet d'acquisition, de développement ou de refonte de système d'information ou de prestation électronique de services
Une EFVP est requise pour tout projet lié à un système d'information ou de prestation électronique de services impliquant des renseignements personnels. Il peut s'agir d'un projet d'acquisition, de développement ou de refonte. Dès le début d'un tel projet, aux fins de l'EFVP, l'entreprise doit consulter son responsable de la protection des renseignements personnels.
Un système d'information peut revêtir de multiples formes. Il n'est pas nécessairement informatisé, quoique cela soit fréquent. Il peut s'agir entre autres d'un :
Un système de prestation électronique de services peut notamment prendre la forme :
3. Communication de renseignements personnels sans consentement à un tiers à des fins d'étude, de recherche ou de production de statistiques
La communication de renseignements personnels sans le consentement des personnes concernées à une personne ou à un organisme souhaitant utiliser ces renseignements à des fins d'étude, de recherche ou de production de statistiques est permise seulement si une EFVP conclut au respect de certains critères.
La communication doit être faite dans le cadre d'une entente écrite, transmise à la Commission. Cette entente entre en vigueur dans les 30 jours suivant sa réception.
Voici un guide rapide pour savoir si votre site web nécessite une EFVP :
| Type de site | EFVP requise ? | Pourquoi |
|---|---|---|
| Site vitrine sans collecte ni suivi | ❌ Non | Aucun renseignement personnel traité |
| Site avec formulaire de contact | ⚠️ Oui (souvent) | Données envoyées à un serveur externe |
| Site avec Google Analytics ou IA | ✅ Oui | Transfert de données + analyse automatisée |
| Site e-commerce ou zone membre | ✅ Oui | Traitement actif de données personnelles |
💡 Note importante : Si votre site utilise des services tiers (formulaires, analytics, hébergement cloud) situés à l'extérieur du Québec, une EFVP est généralement requise. Notre audit numérique peut vous aider à identifier si votre site nécessite une EFVP et vous accompagner dans sa réalisation.
Pour vous aider à réaliser votre EFVP et à mieux comprendre cette démarche, la Commission propose :