Étude de cas · Conformité
Cabinet de courtage en assurance Laval, Québec

Un cabinet de courtage se met en règle avec la Loi 25

Un courtier d’assurance manipule, par nature, une montagne de renseignements personnels sensibles. Ce cabinet de courtage savait que la Loi 25 s’appliquait à lui, sans savoir par où commencer. Nous l’avons accompagné de bout en bout : cartographier les données, combler les écarts, outiller la gouvernance et former les équipes — sans jargon juridique inutile.

100 %des obligations Loi 25 couvertes
14 sem.de la cartographie à la conformité
1 200+dossiers clients sécurisés
6politiques et procédures déployées
Coffre-fort numérique protégeant des dossiers de renseignements personnels
En bref
Client
Confidentiel
Secteur
Services financiers · Courtage d’assurance
Région
Laval, Québec
Contexte
40 employés, données très sensibles
Services
Conformité Loi 25 · Gouvernance des données · Formation
Durée
≈ 14 semaines
Le contexte

Une obligation légale, beaucoup d’incertitude

Depuis septembre 2023, la Loi 25 impose des obligations strictes à toute entreprise québécoise qui détient des renseignements personnels. Pour un cabinet de 40 personnes sans service juridique ni TI dédié, le risque était double : sanctions et perte de confiance des clients.

  • Aucune cartographie des renseignements personnels détenus ni de leur cycle de vie.
  • Pas de responsable de la protection des renseignements personnels désigné.
  • Politiques de confidentialité et de conservation absentes ou obsolètes.
  • Aucun processus défini en cas d’incident de confidentialité.
La démarche

Les obligations, une à une

Plutôt qu’un audit théorique, nous avons traduit la Loi 25 en une liste d’obligations concrètes, puis traité chacune jusqu’à pouvoir la cocher.

Responsable désigné

Nomination et formation du responsable de la protection des renseignements personnels, avec coordonnées publiées.

Cartographie des données

Inventaire des renseignements collectés, de leurs finalités, durées de conservation et localisation.

Politiques & consentement

Politique de confidentialité claire, mécanismes de consentement et de retrait, mentions au point de collecte.

Registre des incidents

Procédure de gestion des incidents de confidentialité, registre et obligation d’avis à la CAI.

Évaluations (ÉFVP)

Cadre d’évaluation des facteurs relatifs à la vie privée pour les nouveaux projets et fournisseurs.

Droits des personnes

Processus pour répondre aux demandes d’accès, de rectification et de désindexation dans les délais.

La gouvernance

Une gouvernance qui tient dans le temps

La conformité n’est pas un projet ponctuel mais un état à maintenir. Nous avons laissé au cabinet les outils pour rester conforme sans nous.

Une gouvernance qui tient dans le temps
  • Responsable outillé

    Le responsable dispose de gabarits, d’un calendrier de revue et d’un point de contact unique pour les clients.

  • Registre vivant

    Le registre des renseignements et des incidents est conçu pour être mis à jour facilement par l’équipe.

  • Contrats fournisseurs

    Clauses de protection des données ajoutées aux ententes avec les sous-traitants et prestataires infonuagiques.

  • Équipes formées

    Sensibilisation de tout le personnel aux bons réflexes : collecte minimale, hameçonnage, signalement.

L’impact

Conforme, et capable de le rester

Le cabinet n’a pas seulement coché des cases : il a intégré une culture de la protection des données qui rassure ses clients et ses assureurs partenaires.

100 %des obligations Loi 25 couvertes
14 sem.de la cartographie à la conformité
6politiques et procédures déployées
72 hdélai d’avis en cas d’incident, désormais outillé

Avant / après

ÉlémentAvantAprès
Responsable désignéAucunNommé et formé
Cartographie des donnéesInexistanteComplète et à jour
Gestion des incidentsImproviséeProcédure + registre
Consentement clientImpliciteExplicite et traçable
Formation du personnel0 %100 % sensibilisé
On savait qu’il fallait se conformer, mais ça nous paraissait insurmontable. Codally a transformé un texte de loi intimidant en une liste d’actions claires. Aujourd’hui, on peut regarder nos clients dans les yeux quand on parle de la protection de leurs données.
DirectionCabinet de courtage en assurance · client confidentiel
Livrables
Cartographie des renseignements personnelsRegistre des incidentsPolitique de confidentialitéProcédure de gestion des demandesCadre d’ÉFVPPlan de formation du personnel

La Loi 25 vous concerne, vous aussi.

Faisons le point sur vos obligations et bâtissons un plan de mise en conformité réaliste.

Évaluer ma conformité