Accueil Blog
Services

Nos Services

Une expertise neutre et indépendante pour sécuriser, optimiser et diriger vos infrastructures technologiques.
Audit informatique
Audit informatique
Audit informatique
Audit Budget TI
Audit Budget TI
Audit Budget TI
vCIO
vCIO
vCIO
Contre-Expertise
Contre-Expertise
Contre-Expertise
Test de Sauvegardes
Test de Sauvegardes
Test de Sauvegardes
Explorer tous nos services
ContactPrendre rendez-vous
English
AccueilBlogServicesContactPrendre rendez-vous
English

Conformité Loi 25 — Protégez votre organisation, pas seulement vos documents

Cartographie des données, processus opérationnels, analyse des écarts et gouvernance concrète — avec intégration du volet juridique, que ce soit via notre avocat partenaire ou le vôtre.

La conformité Loi 25 est un accompagnement structuré pour mettre en œuvre les obligations de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, côté TI et gouvernance. Factero réalise la cartographie des données, met en place les processus de gestion des incidents et de demande d'accès, et sécurise vos systèmes. Important : ce service couvre le volet TI — on ne remplace pas un avis juridique, mais on travaille en collaboration avec vos conseillers juridiques.
Parler à un expert

Pour qui ?

Municipalités, MRC et organismes publics québécois assujettis à la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels — qui doivent rendre compte au conseil municipal, aux élus ou à un comité de vérification, et qui veulent une démarche de conformité documentée et défendable. Factero Service Conseil est inscrit au SEAO — les marchés publics québécois peuvent être attribués directement.

PME exerçant leurs activités au Québec, assujetties à la Loi sur la protection des renseignements personnels dans le secteur privé (L.P.R.P.S.P.) — qui veulent structurer leur conformité de façon concrète et durable.

Organisations qui sortent d'un audit interne, d'une vérification externe ou d'une demande d'enquête de la CAI, et qui doivent combler des lacunes de conformité sous la L.P.R.P.S.P. telle qu'amendée par la Loi 25 — avec un plan d'action documenté et défendable.

OBNL et associations qui collectent des renseignements personnels de membres, de bénéficiaires ou de donateurs. L'assujettissement à la L.P.R.P.S.P. dépend de la nature des activités — un appel de cadrage de 30 minutes suffit à le confirmer. Beaucoup d'OBNL sont concernés sans le savoir.

Cabinets professionnels — comptables, avocats, notaires, cliniques privées — qui gèrent des dossiers clients sensibles et dont les obligations déontologiques de confidentialité s'articulent avec les exigences de la L.P.R.P.S.P.

Coopératives et organismes communautaires qui traitent des renseignements personnels de membres, d'usagers ou de bénéficiaires dans le cadre de leurs activités — souvent sans département TI ni budget de conformité dédié, et qui ont besoin d'une démarche proportionnée à leur réalité.

Entreprises en croissance au Québec dont la collecte de renseignements personnels a pris de l'ampleur et qui doivent structurer leur conformité sous la L.P.R.P.S.P. pour la première fois.

RPP désigné sans cartographie ni processus en place — gestionnaire TI, RH ou financier nommé RPP qui doit livrer des résultats à la direction sans département TI dédié, et qui cherche une infrastructure opérationnelle concrète pour exercer son mandat.

Quand est-ce utile ?

Si vous vous reconnaissez dans l'une de ces situations, ce service est conçu pour vous.
  • Votre organisation n'a pas encore de cartographie de ses renseignements personnels — une obligation de base sous la L.P.R.P.S.P. (secteur privé) et la Loi sur l'accès (organismes publics).
  • Vous devez structurer vos processus (incidents, demandes d'accès, consentement valide, conservation, ÉFVP).
  • Vous avez déjà tenté de structurer votre conformité seul — et vous vous êtes retrouvé avec un document de politique sans processus derrière, ou des processus non testés que personne ne sait activer.
  • Vous avez subi un incident, reçu une demande d'accès sans processus en place, ou perdu un appel d'offres en raison de lacunes documentées en conformité.
  • Vous avez des systèmes dans le nuage (M365, AWS, GCP, SaaS divers) et ne savez pas exactement où sont vos renseignements personnels ni qui y accède réellement.

Qu'est-ce que vous obtenez ?

Checkbox icon

Cartographie des renseignements personnels — document versionné couvrant : (1) inventaire des systèmes, (2) flux de données vers les tiers et accès internes (qui, en interne, accède à quels renseignements et selon quel besoin légitime), (3) durées de conservation par catégorie, (4) classification par sensibilité avec identification des renseignements sensibles (santé, origine ethnique, croyances, orientation sexuelle, etc.), (5) fin déterminée, claire et légitime pour chaque traitement. Propriété du RPP — vérifiable par un auditeur externe, mise à jour à chaque changement de système et révisée au minimum annuellement.

Checkbox icon

Maintien annuel de la conformité (disponible comme mandat récurrent distinct) — révision de la cartographie, mise à jour des processus et de la politique de conservation, vérification du registre des incidents, renouvellement du plan de sensibilisation et mise à jour du rapport de mandat. La conformité Loi 25 n'est pas un projet ponctuel : les systèmes changent, les pratiques évoluent, les lignes directrices de la CAI se précisent. Ce volet de maintien est disponible comme mandat récurrent distinct.

Checkbox icon

Politique de conservation et de destruction des renseignements personnels — document approuvé qui fixe les durées de conservation par catégorie de renseignements et les méthodes de destruction sécurisée (NIST SP 800-88 pour les supports numériques, destruction certifiée pour les supports physiques). Document distinct de la cartographie : là où la cartographie décrit les durées actuelles, la politique les officialise et les rend opposables. Approuvée par la direction, révisée au minimum tous les deux ans.

Checkbox icon

Processus documentés et approuvés par le RPP et la direction (incidents de confidentialité, demandes d'accès, consentement valide, conservation et destruction, ÉFVP, portabilité des renseignements collectés depuis le 22 septembre 2023, communication de renseignements à l'extérieur du Québec) — chaque processus identifie le propriétaire, les délais applicables, les étapes d'escalade et les critères de déclenchement. Livrés sous forme opérationnelle, pas théorique — avec un plan de test pour valider chaque processus avant sa mise en vigueur.

Checkbox icon

Charte du responsable de la protection des renseignements personnels (RPP) : document qui formalise le mandat, les responsabilités, les pouvoirs, les ressources allouées et le lien hiérarchique du RPP avec la direction. Un RPP sans charte approuvée est nominatif — sans autorité réelle pour faire appliquer les mesures de conformité. La charte est datée, signée par la direction et révisée au minimum tous les deux ans. Elle documente également les coordonnées du RPP à publier sur le site web de l'organisation — obligation distincte prévue à l'art. 3.1 L.P.R.P.S.P. Le mandat inclut également un transfert de connaissances au RPP sur les obligations de la loi applicable, les outils livrés et les réflexes à adopter pour maintenir la conformité dans le temps.

Checkbox icon

Analyse des écarts (gap analysis) entre les mesures de protection en place et celles requises par la L.P.R.P.S.P. — couvrant les contrôles techniques (authentification, chiffrement au repos et en transit, gestion des accès, journalisation) autant que la gouvernance documentaire — avec un plan d'action priorisé, des mesures concrètes recommandées et un niveau d'effort estimé (jours-personnes ou fourchette de coût) pour chaque item. Vérifiable par un auditeur externe dès la livraison — présenté à la direction pour approbation et appropriation du plan d'action.

Checkbox icon

Registre des incidents de confidentialité opérationnel — structure et gabarit documenté conforme au contenu minimal requis par la L.P.R.P.S.P. (date et nature de l'incident, renseignements visés, nombre de personnes touchées, circonstances et mesures prises), et processus de détection, de classification et d'escalade. Inclut les critères pour déterminer quels incidents déclenchent l'obligation de notification à la CAI et aux personnes concernées. Un exercice de simulation (tabletop) est proposé en option pour valider que l'équipe sait activer le registre et le processus de notification en conditions réelles.

Checkbox icon

Inventaire des tiers qui traitent des renseignements personnels pour votre compte — avec évaluation du niveau de risque de chacun et identification des tiers situés hors Québec (qui déclenchent l'obligation d'ÉFVP et d'accord écrit conformément à la L.P.R.P.S.P.), statut de conformité contractuelle (clauses présentes / manquantes), et liste des ententes à mettre à jour ou à conclure pour satisfaire aux obligations de la L.P.R.P.S.P. — et identification des tiers pour lesquels une ÉFVP devra être complétée avant tout nouveau mandat ou renouvellement impliquant un changement de portée, de volume de renseignements ou de localisation des données.

Checkbox icon

Document des pratiques de gestion des renseignements personnels : description des finalités de collecte, des mesures de protection en place, des processus de traitement et des droits des individus — document TI qui sert de base factuelle à la rédaction de la politique de confidentialité par l'avocat partenaire (L.P.R.P.S.P. pour le secteur privé, Loi sur l'accès pour les organismes publics). Maintenu par le RPP — mis à jour à chaque changement de système ou de pratique, et revu au minimum annuellement.

Checkbox icon

Gabarit d'avis de confidentialité : modèle de la mention que l'organisation doit communiquer aux individus au moment de la collecte de leurs renseignements personnels — formulaires, courriels, site web, contrats. La L.P.R.P.S.P. exige que les finalités de collecte soient communiquées clairement et au plus tard au moment de la collecte — incluant les droits des individus (accès, correction, retrait de consentement, destruction, droit de porter plainte à la CAI) et les coordonnées du RPP. Ce gabarit est adapté aux différents points de collecte de l'organisation et transmis à l'avocat partenaire pour validation juridique.

Checkbox icon

Volet juridique intégré : Factero et son avocat partenaire spécialisé en protection des renseignements personnels forment une équipe TI + droit qui couvre les deux volets en tandem — sans que vous ayez à gérer deux mandats séparés. L'avocat partenaire s'appuie directement sur les livrables TI de Factero — cartographie, document des pratiques de gestion, gabarit d'avis de confidentialité, processus, inventaire des tiers — pour rédiger des politiques de confidentialité exactes, robustes et opposables. Il peut aussi fournir des avis légaux et assurer la représentation devant la CAI si requis. Vous pouvez mandater cet avocat directement, ou travailler avec votre propre conseiller juridique si vous en avez un.

Checkbox icon

Plan de sensibilisation des employés : contenu, fréquence minimale (au moins annuelle) et modalités de formation sur les obligations de la loi applicable (L.P.R.P.S.P. ou Loi sur l'accès) et les pratiques de l'organisation — incluant les règles de traitement des renseignements personnels, la procédure en cas d'incident et les droits des individus. Un employé non sensibilisé est un vecteur de risque non couvert par la conformité documentaire. Le plan inclut un mécanisme de suivi des complétions (attestations) — prouvable lors d'un audit ou d'une enquête CAI.

Checkbox icon

Rapport de mandat : synthèse des constats, des lacunes identifiées, des mesures mises en place et des actions en suspens avec échéances et responsables désignés — document remis au RPP et à la direction. Versionné, daté et approuvé par la direction — sert de preuve de diligence raisonnable en cas d'enquête de la CAI, de litige ou de demande d'assurance cyber. Une mise à jour annuelle ou à chaque changement significatif est recommandée pour maintenir sa valeur probante.

Pas un bon fit ?

  • Ce service couvre le volet TI et gouvernance de la Loi 25 — pas le volet juridique autonome. Si votre besoin principal est uniquement un avis légal ou une représentation devant la CAI sans volet TI, un avocat seul sera plus adapté. Si vous avez besoin des deux volets — ce qui est le cas pour la plupart des mandats de conformité — Factero et son avocat partenaire couvrent l'ensemble en tandem. C'est la seule configuration qui permet de produire une politique de confidentialité exacte : l'avocat travaille sur la base des livrables TI de Factero, pas sur des hypothèses. Vous gérez un seul mandat coordonné, pas deux.

Comment fonctionne le processus ?

Une approche rigoureuse et transparente, étape par étape.
Cadrage
Où sont les renseignements personnels, qui y a accès (en interne et vers les tiers), dans quel contexte, pour quelle durée et à quelle fin (déterminée, claire et légitime au sens de la L.P.R.P.S.P.). Ce travail se fait avec votre équipe TI et votre RPP — ils sont au cœur de la démarche, pas en périphérie. La méthodologie combine entretiens structurés, revue des systèmes en place et validation avec les équipes TI pour produire une cartographie qui reflète la réalité opérationnelle, pas seulement ce qui est déclaré. Si le mandat du RPP n'est pas encore formalisé, on produit sa charte en même temps. Le résultat est une cartographie documentée, vérifiable et maintenable — propriété du RPP.
Processus
Incidents, demandes d'accès, consentement valide, conservation et destruction (appuyés par une politique approuvée), évaluations des facteurs relatifs à la vie privée (ÉFVP), portabilité et communication hors Québec. Chaque processus est documenté avec son propriétaire, ses délais et ses critères de déclenchement — opérationnel, testable et accompagné d'un plan de test dès la livraison.
Mesures concrètes
Analyse des écarts entre ce qui est en place et ce que la L.P.R.P.S.P. exige — avec mesures concrètes recommandées, plan d'action priorisé et obligations contractuelles envers les tiers vérifiées. Tout est documenté et vérifiable par un auditeur externe. Le mandat se conclut par un rapport de synthèse remis au RPP et à la direction — versionné, daté, approuvé.
Gouvernance
Charte du RPP, plan de sensibilisation des employés, gabarit d'avis de confidentialité et rapport de mandat final. La conformité documentaire ne tient que si quelqu'un a l'autorité, les outils et la formation pour la faire vivre — et si les individus sont informés de leurs droits au moment où leurs renseignements sont collectés. On formalise la gouvernance — pas seulement les processus. Et pour les organisations qui veulent maintenir cette conformité dans le temps, un mandat de maintien annuel est disponible.

Foire aux questions

Les réponses aux questions que nos clients posent avant de nous contacter.
Nos fournisseurs TI (MSP, hébergeur, etc.) traitent des renseignements personnels. Qu'est-ce que ça implique sous la Loi 25?
La Loi 25 vous impose des obligations contractuelles envers tout tiers qui traite des renseignements personnels pour votre compte. Cela inclut votre MSP, hébergeur, logiciels SaaS et plateformes infonuagiques. Vos contrats doivent inclure des clauses de confidentialité, de sécurité, de notification en cas d'incident, de destruction ou de restitution des renseignements à la fin du contrat, et un droit d'audit pour les tiers présentant un risque élevé (art. 18.3 L.P.R.P.S.P. — à valider avec votre conseiller juridique pour la version en vigueur). C'est souvent une zone oubliée dans les programmes de conformité. Factero audite vos ententes existantes et vous aide à les mettre en conformité. Si vos contrats actuels ne contiennent pas ces clauses, vous êtes en situation de non-conformité même si vos systèmes internes sont bien structurés.
On a déjà nommé un responsable de la protection des renseignements personnels (RPP). Est-ce suffisant?
Nommer un RPP est un bon départ, mais ce n'est pas suffisant en soi. Le responsable de la protection des renseignements personnels doit avoir les outils pour faire son travail : cartographie des renseignements personnels, processus documentés (incidents, demandes d'accès, consentement), mesures de sécurité raisonnables et une charte formelle qui lui donne l'autorité nécessaire. Factero aide à mettre en place cette infrastructure opérationnelle complète — pas seulement à nommer quelqu'un. Rappel important : si aucun RPP n'est formellement désigné, c'est la personne ayant la plus haute autorité au sein de l'organisation (PDG, DG ou équivalent) qui est considérée RPP par défaut — et dont l'identité doit être publiée sur le site web de l'organisation (art. 3.1 L.P.R.P.S.P. — à valider avec votre conseiller juridique). Cette obligation est souvent oubliée. L'approche de Factero s'appuie sur les exigences de la Loi 25 croisées avec les bonnes pratiques NIST-CSF et ISO 27001 pour les mesures de protection.
Quelles sont les pénalités en cas de non-conformité?
La Loi 25 prévoit des sanctions administratives pouvant atteindre 10 millions de dollars et des sanctions pénales jusqu'à 25 millions. Pour les organisations du secteur privé assujetties à la L.P.R.P.S.P., deux types de sanctions existent (les organismes publics sont soumis à un régime distinct sous la Loi sur l'accès). Les sanctions administratives pécuniaires sont imposées directement par la CAI — elles peuvent atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial de l'exercice précédent, selon le montant le plus élevé. Les sanctions pénales impliquent une poursuite devant les tribunaux — elles visent les infractions intentionnelles ou négligentes graves, et peuvent aller jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial. La Commission d'accès à l'information applique les dispositions avec une approche pédagogique pour les organisations de bonne foi. Factero structure une démarche de conformité documentée et proportionnée — la meilleure protection contre les sanctions. Les individus peuvent aussi porter plainte à la CAI si leurs droits ne sont pas respectés — ce recours est gratuit et accessible.
Quelle approche utilisez-vous pour la conformité?
Factero s'appuie sur les exigences de la L.P.R.P.S.P. et les lignes directrices de la CAI (à valeur interprétative), qu'on croise avec les bonnes pratiques de sécurité de l'information — notamment NIST-CSF et ISO 27001 pour les mesures de protection. L'objectif est une conformité proportionnée à votre taille et à vos risques réels, pas une liste de cases à cocher. Le principal associé est certifié CISA (Certified Information Systems Auditor, ISACA) — la certification de référence internationale en audit des systèmes d'information, qui couvre directement la gouvernance des données, la conformité réglementaire et l'évaluation des contrôles de sécurité. Pour les organismes publics, l'approche tient compte des exigences de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, qui s'applique aux organismes publics en lieu et place de la L.P.R.P.S.P. Factero détient une assurance responsabilité professionnelle pour l'ensemble de ses mandats de conseil en gouvernance TI et conformité.
Êtes-vous obligé de tenir un registre des incidents de confidentialité?
Oui — toute organisation assujettie à la L.P.R.P.S.P. est obligée de tenir un registre des incidents de confidentialité (art. 3.5 L.P.R.P.S.P. pour le secteur privé — des obligations similaires s'appliquent aux organismes publics sous la Loi sur l'accès — à valider avec votre conseiller juridique). Un incident de confidentialité au sens de la L.P.R.P.S.P. inclut tout accès, utilisation ou communication non autorisé de renseignements personnels, ainsi que toute perte de renseignements permettant un tel accès. Ce registre doit documenter tous ces incidents, qu'ils soient signalés ou non à la CAI. Les incidents présentant un risque sérieux de préjudice doivent être signalés à la CAI et aux personnes concernées — c'est le critère clé. La notification doit se faire dans les meilleurs délais après que l'organisation a pris connaissance de l'incident. Ce registre doit être mis à la disposition de la CAI sur demande. Une organisation qui ne le tient pas est en situation de non-conformité, même si elle n'a jamais vécu d'incident majeur. Factero aide à mettre en place le registre, les processus de détection et de documentation, et les critères pour déterminer quels incidents déclenchent l'obligation de notification.
Qu'est-ce qu'une ÉFVP et quand est-elle obligatoire?
Une ÉFVP (évaluation des facteurs relatifs à la vie privée) est une analyse structurée des risques qu'un projet ou un système pose pour la vie privée des personnes. La L.P.R.P.S.P. consacre le principe de protection dès la conception (privacy by design) et rend l'ÉFVP obligatoire pour tout projet présentant un risque pour la vie privée — notamment lors de l'acquisition d'un nouveau logiciel, d'un changement de système significatif, d'un projet de développement de système ou d'application, ou de toute communication de renseignements à l'extérieur du Québec. Dans ce dernier cas, une entente écrite avec le destinataire est également requise, confirmant un niveau de protection adéquat des renseignements communiqués. C'est l'une des obligations les plus méconnues — et les plus coûteuses si ignorée. Une organisation qui déploie un système sans ÉFVP préalable est en situation de non-conformité dès le départ. Factero vous aide à intégrer l'ÉFVP dans vos processus de gestion de projets TI — pas comme un frein, mais comme une étape structurée qui protège l'organisation et documente les décisions prises.
Que se passe-t-il si une personne demande la destruction de ses renseignements personnels?
La L.P.R.P.S.P. reconnaît deux droits distincts : le droit de retirer son consentement et le droit de demander la destruction des renseignements personnels. Ces droits peuvent être exercés séparément et leurs effets sont différents — le retrait du consentement ne déclenche pas automatiquement l'obligation de destruction si l'organisation dispose d'une autre base légale pour conserver les renseignements (contrat, obligation légale, litige en cours, etc.). Si la destruction est requise et impossible, l'anonymisation est une alternative reconnue — à condition que les renseignements soient rendus irréversiblement non identifiables. L'organisation doit répondre dans un délai raisonnable et documenter les actions prises. Les lignes directrices de la CAI suggèrent 30 jours calendrier comme bonne pratique. Elle doit être en mesure de justifier le maintien des renseignements si elle refuse la demande. Factero vous aide à mettre en place ce processus — réception des demandes, délais de traitement, documentation des décisions, et coordination avec le volet juridique si la demande soulève des questions complexes.
Un individu peut-il demander à consulter les renseignements personnels que vous détenez sur lui?
Oui — la L.P.R.P.S.P. donne à toute personne le droit d'accéder aux renseignements personnels que détient une organisation à son sujet, et d'en demander la correction si des informations sont inexactes, incomplètes ou équivoques. L'organisation doit répondre à cette demande par écrit dans un délai raisonnable — les lignes directrices de la CAI suggèrent 30 jours calendrier. Elle doit aussi indiquer les renseignements détenus, leur utilisation, et les tiers à qui ils ont été communiqués. Refuser une demande d'accès sans motif légitime constitue une violation de la L.P.R.P.S.P. (ou de la Loi sur l'accès pour les organismes publics). Les motifs de refus reconnus sont limités — par exemple, si la communication porterait atteinte à la vie privée d'un tiers ou compromettrait une enquête en cours. Factero vous aide à mettre en place le processus de réception et de traitement des demandes d'accès et de correction — délais, formulaires, documentation et escalade vers le volet juridique si nécessaire.
Combien de temps dure un mandat de conformité Loi 25?
La durée dépend de la taille de l'organisation, du nombre de systèmes et du niveau de maturité actuel en protection des renseignements personnels. À titre indicatif : — PME de moins de 25 employés, peu de systèmes : 3 à 5 semaines. — PME de 25 à 100 employés, systèmes multiples : 6 à 10 semaines. — Organisme public ou organisation plus complexe : 10 à 16 semaines (délais d'attribution selon le mode d'appel d'offres SEAO non inclus). Ces fourchettes couvrent l'ensemble des livrables du mandat standard — cartographie, processus, gap analysis, registre, inventaire des tiers, charte RPP, document des pratiques, gabarit d'avis et rapport de mandat. Le volet juridique (politique de confidentialité rédigée par l'avocat partenaire) se déroule en parallèle et n'allonge pas la durée globale. Une rencontre de cadrage de 60 minutes avec Factero suffit à établir une estimation précise pour votre organisation.
Quelle est la charge de travail demandée à notre équipe pendant le mandat?
La démarche est conçue pour minimiser la charge côté client — vous ne repartez pas avec un questionnaire de 200 lignes à remplir seul. En pratique, le mandat demande : — 2 à 3 entretiens de travail avec le RPP et les responsables des systèmes clés (1 à 2 heures chacun). — Une revue des contrats avec vos principaux tiers (accès en lecture, pas de retranscription manuelle de votre part). — Des validations ponctuelles sur la cartographie et les processus produits (30 à 60 minutes par livrable). L'essentiel du travail — structuration, rédaction, analyse des écarts, production des gabarits — est fait par Factero. Vous validez, vous approuvez, vous appropriez. Pour un RPP qui gère un autre rôle en parallèle, la charge totale est généralement de 6 à 12 heures réparties sur la durée du mandat.
Notre organisme est soumis à la Loi sur l'accès — en quoi votre approche diffère-t-elle?
Les organismes publics québécois sont assujettis à la Loi sur l'accès, et non à la L.P.R.P.S.P. — municipalités, MRC, commissions scolaires, établissements de santé et organismes gouvernementaux. Les deux lois ont été amendées dans le cadre de la réforme Loi 25, mais leurs obligations, délais et régimes de sanctions sont distincts. Notre approche pour les organismes publics tient compte : — Des obligations spécifiques de la Loi sur l'accès (accès aux documents, protection des renseignements personnels, responsable de l'accès). — Du cadre de gouvernance informationnelle du gouvernement du Québec (CGIQ) et des directives du Secrétariat du Conseil du trésor applicables. — Des exigences de reddition de compte envers les élus, le conseil municipal ou le comité de vérification. — Du régime de sanctions distinct applicable aux organismes publics. La démarche produit les mêmes types de livrables — cartographie, processus, registre, formation — mais calibrés pour le cadre légal et institutionnel des organismes publics. Factero est inscrit au SEAO pour les mandats de conseil en gouvernance TI.
Que couvre exactement le mandat — et qu'est-ce qu'il ne couvre pas?
Le mandat couvre l'ensemble du volet TI et gouvernance de la conformité Loi 25 : cartographie des renseignements personnels, processus opérationnels, analyse des écarts, registre des incidents, inventaire des tiers, charte du RPP, document des pratiques de gestion, gabarit d'avis de confidentialité, plan de sensibilisation et rapport de mandat. Ce que le mandat ne couvre pas : — La rédaction de la politique de confidentialité finale : c'est le rôle de l'avocat partenaire, qui s'appuie sur les livrables TI produits par Factero pour la rédiger. — Les avis juridiques formels et la représentation devant la CAI : l'avocat partenaire peut couvrir ces volets en parallèle. — La mise en œuvre technique des mesures recommandées (ex. déploiement d'un outil de chiffrement, reconfiguration d'un système) : Factero documente et recommande, votre équipe TI ou vos fournisseurs implémentent. Cette délimitation claire protège votre organisation : chaque volet est couvert par le professionnel compétent.
Nos conseils sont 100% neutres et indépendants. Consultez notre Charte d'Indépendance.

Services complémentaires

Audit informatique Ressources humaines Conformité RH et politiques TI Voir plus

Besoin d'avancer sur ce sujet ?

Discutons de votre situation spécifique. Sans engagement, juste des conseils d'expert.
Parler à un expert