Une liste de vérification pratique pour la Loi 25.

Les cinq endroits où nous trouvons des écarts à la Loi 25 dans neuf audits sur dix. Aucun n'est exotique. Tous sont identifiables, documentables et réparables.

1. Des flux de consentement qui n'enregistrent pas la granularité

Le consentement doit être propre à la finalité. Un « j'accepte les conditions » global ne suffit plus. La plupart des CRM sont livrés sans capture de consentement granulaire ; cela se règle en configuration.

2. Un inventaire des données que personne ne maintient

Vous ne pouvez pas démontrer la conformité avec des données personnelles que vous ne pouvez pas répertorier. L'inventaire n'a pas à être parfait, il doit exister et être maintenu.

3. Des politiques de conservation qui existent sur papier mais pas dans les systèmes

La politique dit 7 ans. Le système contient des données depuis 2014. L'automatisation est requise.

4. Des contrats fournisseurs qui ne reflètent pas les obligations Loi 25

Vos fournisseurs traitent les données personnelles pour votre compte. Leurs contrats doivent refléter la Loi 25, pas seulement le RGPD, pas seulement SOC 2.

5. Des procédures de réponse aux incidents qui n'ont jamais été testées

Vous avez 72 heures pour aviser la CAI d'une violation. Si votre procédure n'a jamais été répétée, vous manquerez la fenêtre.

Pour la plupart des PME, un audit de préparation à la Loi 25 prend environ une journée, et la remédiation, au besoin, est de 4 à 6 semaines de travail ciblé. L'exposition légale n'exige pas la perfection au jour 1. Elle exige un plan défendable, une compréhension documentée des écarts, et des progrès démontrables sur ces écarts.

La conscience de la Loi 25 est tissée dans chaque mandat de Platine par défaut, aux côtés des exigences sectorielles de confidentialité et de sécurité. Nous la traitons comme une infrastructure de mandat, pas comme un service distinct.