Aller au contenu
FortaRisks
Tous les outilsQuébec · Loi 25

Diagnostic de préparation à la Loi 25

Évaluez en quelques minutes votre conformité à la loi québécoise sur la protection des renseignements personnels, et repartez avec vos priorités.

≈ 5 minutes · sans inscription

La Loi 25 s'applique à toute organisation qui traite des renseignements personnels au Québec. Répondez honnêtement aux 18 énoncés ci-dessous : le calcul se fait dans votre navigateur, aucune réponse n'est enregistrée ni transmise.

Répondez à chaque énoncé selon votre situation réelle. Votre score et vos priorités s'affichent instantanément dans votre navigateur. Aucune donnée n'est transmise.

Progression0 / 18 répondu

1.Gouvernance et responsabilité

Un responsable de la protection des renseignements personnels est désigné, et son titre ainsi que ses coordonnées sont publiés sur votre site.

Un responsable de la protection des renseignements personnels est désigné, et son titre ainsi que ses coordonnées sont publiés sur votre site.

Vous avez établi et publié des politiques et pratiques de gouvernance encadrant la conservation, la destruction et le traitement des renseignements personnels.

Vous avez établi et publié des politiques et pratiques de gouvernance encadrant la conservation, la destruction et le traitement des renseignements personnels.

Vous disposez d'un inventaire à jour des renseignements personnels détenus (nature, finalités, emplacement, accès).

Vous disposez d'un inventaire à jour des renseignements personnels détenus (nature, finalités, emplacement, accès).

Au moment de la collecte, vous informez les personnes des finalités, des moyens utilisés, de leurs droits et des tiers à qui les renseignements peuvent être communiqués.

Au moment de la collecte, vous informez les personnes des finalités, des moyens utilisés, de leurs droits et des tiers à qui les renseignements peuvent être communiqués.

Le consentement est demandé de façon claire, libre et éclairée, distinctement pour chaque finalité et en termes simples.

Le consentement est demandé de façon claire, libre et éclairée, distinctement pour chaque finalité et en termes simples.

Un consentement exprès est obtenu pour les renseignements personnels sensibles (ex. données de santé, biométriques).

Un consentement exprès est obtenu pour les renseignements personnels sensibles (ex. données de santé, biométriques).

3.Droits des personnes

Vous avez un processus pour répondre aux demandes d'accès et de rectification dans les délais prévus (30 jours).

Vous avez un processus pour répondre aux demandes d'accès et de rectification dans les délais prévus (30 jours).

Vous êtes en mesure de communiquer, à la demande, les renseignements personnels informatisés dans un format technologique structuré et couramment utilisé (portabilité).

Vous êtes en mesure de communiquer, à la demande, les renseignements personnels informatisés dans un format technologique structuré et couramment utilisé (portabilité).

Vous traitez les demandes de cessation de diffusion, de réindexation ou de désindexation (droit à l'oubli).

Vous traitez les demandes de cessation de diffusion, de réindexation ou de désindexation (droit à l'oubli).

4.Incidents de confidentialité

Vous tenez un registre des incidents de confidentialité, conservé et disponible sur demande de la Commission d'accès à l'information (CAI).

Vous tenez un registre des incidents de confidentialité, conservé et disponible sur demande de la Commission d'accès à l'information (CAI).

Vous avez une procédure pour évaluer le « risque de préjudice sérieux » d'un incident et, le cas échéant, aviser rapidement la CAI et les personnes concernées.

Vous avez une procédure pour évaluer le « risque de préjudice sérieux » d'un incident et, le cas échéant, aviser rapidement la CAI et les personnes concernées.

Votre plan de réponse aux incidents (confinement, notification, mesures correctives) est documenté et testé.

Votre plan de réponse aux incidents (confinement, notification, mesures correctives) est documenté et testé.

5.Évaluations (ÉFVP) et transferts

Vous réalisez une évaluation des facteurs relatifs à la vie privée (ÉFVP) pour les projets d'acquisition, de développement ou de refonte de systèmes d'information touchant des renseignements personnels.

Vous réalisez une évaluation des facteurs relatifs à la vie privée (ÉFVP) pour les projets d'acquisition, de développement ou de refonte de systèmes d'information touchant des renseignements personnels.

Avant de communiquer des renseignements personnels à l'extérieur du Québec, vous évaluez si la protection y est adéquate et vous encadrez le transfert.

Avant de communiquer des renseignements personnels à l'extérieur du Québec, vous évaluez si la protection y est adéquate et vous encadrez le transfert.

Lorsqu'une décision repose exclusivement sur un traitement automatisé, vous en informez la personne et lui permettez de faire réviser la décision.

Lorsqu'une décision repose exclusivement sur un traitement automatisé, vous en informez la personne et lui permettez de faire réviser la décision.

6.Sécurité et cycle de vie

Vous protégez les renseignements personnels par des mesures de sécurité raisonnables, et les paramètres de confidentialité les plus élevés s'appliquent par défaut dans vos produits et services destinés au public.

Vous protégez les renseignements personnels par des mesures de sécurité raisonnables, et les paramètres de confidentialité les plus élevés s'appliquent par défaut dans vos produits et services destinés au public.

Les renseignements personnels sont détruits ou anonymisés lorsque la finalité est accomplie, selon un calendrier de conservation défini.

Les renseignements personnels sont détruits ou anonymisés lorsque la finalité est accomplie, selon un calendrier de conservation défini.

Vos ententes avec les mandataires et sous-traitants comportent des clauses de protection des renseignements personnels.

Vos ententes avec les mandataires et sous-traitants comportent des clauses de protection des renseignements personnels.

Répondez à tous les énoncés pour afficher votre score.

FAQ

Qu'est-ce que la Loi 25 ?

La Loi 25 (anciennement projet de loi 64) modernise l'encadrement de la protection des renseignements personnels au Québec, dans les secteurs privé et public. Elle impose notamment un responsable de la protection des renseignements personnels, la gestion des incidents de confidentialité, l'évaluation des facteurs relatifs à la vie privée et de nouveaux droits pour les personnes.

Qui est visé ?

Toute entreprise qui exerce des activités au Québec et qui recueille, détient, utilise ou communique des renseignements personnels, quels que soient sa taille et son secteur.

Quelles sont les échéances clés ?

Les obligations sont entrées en vigueur par étapes : septembre 2022 (responsable, signalement des incidents), septembre 2023 (majorité des obligations : consentement, ÉFVP, transparence) et septembre 2024 (droit à la portabilité des données).

Quelles sanctions en cas de non-conformité ?

Les sanctions administratives pécuniaires peuvent atteindre 10 M$ ou 2 % du chiffre d'affaires mondial, et les amendes pénales 25 M$ ou 4 % du chiffre d'affaires mondial, le montant le plus élevé s'appliquant.

Ce diagnostic remplace-t-il un avis juridique ?

Non. Cet auto-diagnostic est un outil indicatif pour situer votre maturité et prioriser vos actions. Il ne constitue pas un avis juridique ; validez votre conformité avec un conseiller qualifié.