Êtes-vous conformes
à la Loi 25 ?
Un audit technique approfondi de votre infrastructure pour identifier, mesurer et corriger vos écarts de conformité — avant que la Commission d'accès à l'information ne le fasse.
Contexte réglementaire
Ce que la Loi 25 exige concrètement
La Loi 25 impose aux entreprises québécoises un cadre strict de gouvernance des données personnelles. Depuis septembre 2023, l'ensemble des obligations sont en vigueur.
En cas de manquement, la Commission d'accès à l'information peut imposer des sanctions allant jusqu'à 25 millions de dollars ou 4% du chiffre d'affaires mondial.
Risques en cas de non-conformité
- Sanctions jusqu'à 25 M$ ou 4% du chiffre d'affaires
- Ordonnance de la CAI — cessation de traitement
- Publication de l'infraction — atteinte à la réputation
- Recours civils des personnes lésées
Qui est concerné ?
Toute entreprise qui collecte, utilise ou divulgue des renseignements personnels au Québec — quelle que soit sa taille.
Notre engagement
Rapport d'audit livré en 5 jours ouvrables. Structuré par article de loi. Prêt à être présenté à la CAI, à votre conseil d'administration ou à vos assureurs.
Périmètre de l'audit
Ce que nous analysons, couche par couche
Notre audit s'adapte à votre infrastructure réelle — serveurs locaux, cloud ou environnement hybride. Chaque couche est évaluée avec les outils adaptés.
Serveurs et postes de travail
- Comptes et droits d'accès système
- Chiffrement des disques et volumes
- Journaux d'accès et durée de conservation
- Correctifs de sécurité appliqués
Environnements conteneurisés
- Droits d'accès aux ressources applicatives
- Secrets et mots de passe exposés
- Images non vérifiées ou vulnérables
- Isolation réseau entre services
Cloud (AWS, Azure, GCP)
- Stockage accessible publiquement par erreur
- Comptes sur-privilégiés ou inactifs
- Chiffrement des données activé
- Localisation des données (souveraineté)
Bases de données
- Colonnes contenant des données personnelles
- Permissions et comptes utilisateurs
- Chiffrement au repos et en transit
- Durée de conservation des enregistrements
Journaux et traces
- Données personnelles dans les logs applicatifs
- Centralisation et intégrité des journaux
- Alertes d'accès anormaux
- Registre des incidents conforme
Consentement et site web
- Traceurs bloqués avant consentement
- Politique de confidentialité accessible
- Formulaires de collecte conformes
- Cookies et scripts tiers déclarés
Livrables
Ce que vous recevez à l'issue de l'audit
Rapport de conformité structuré
Score par section, preuves à l'appui, référence aux articles de loi. Prêt pour la CAI, vos assureurs ou votre conseil d'administration.
Cartographie des données personnelles
Inventaire de toutes les données personnelles identifiées avec leur localisation précise dans votre infrastructure.
Plan d'action priorisé
Classé par niveau de risque — critique, élevé, modéré. Chaque point inclut une solution concrète proposée.
Session de restitution
Présentation des résultats à vos équipes et à votre direction. Une heure, questions incluses.
Exemple de rapport
Résultats présentés par section, avec score et statut
Commencez par l'auto-évaluation gratuite
58 points de contrôle, score immédiat. Aucun compte requis.