Comment réaliser une cartographie de vos actifs informationnels conforme à la Loi 25

Chaque actif doit avoir un propriétaire responsable de sa protection. Sans propriétaire désigné, la responsabilité devient diffuse et les obligations ne sont pas respectées.

• Définir la notion de propriétaire d’actif dans vos politiques
• Assigner un propriétaire à chaque système ou base de données
• Créer un registre de propriété accessible aux parties prenantes

L’inventaire doit couvrir 100 % des systèmes traitant des renseignements personnels. Les actifs oubliés sont les plus dangereux en cas d’audit ou d’incident.

• Interroger les équipes IT, métier et RH pour identifier les systèmes
• Scanner le réseau pour détecter les actifs non répertoriés (shadow IT)
• Inclure les services SaaS utilisés sans supervision IT
• Documenter les systèmes hérités (legacy) même si en décommission

La Loi 25 requiert une classification spécifique des renseignements sensibles. La classification guide les niveaux de protection à appliquer.

• Définir votre grille de classification (ex. Public, Interne, Confidentiel, Restreint)
• Classer chaque actif selon sa sensibilité
• Identifier les renseignements sensibles au sens de la Loi 25 (santé, finances, biométrie, convictions religieuses, etc.)
• Documenter les exigences de protection spécifiques à chaque niveau

Comprendre comment les données circulent est essentiel pour les EFVP et la gestion des risques liés aux tiers.

• Pour chaque actif : d’où viennent les données ? Où vont-elles ?
• Identifier les transferts hors Québec (exigences de la Loi 25)
• Documenter les accès des fournisseurs tiers
• Valider que les ententes de communication sont en place

Un inventaire périmé est pire qu’un inventaire inexistant : il crée un faux sentiment de sécurité.

• Définir un processus de mise à jour déclenché par tout changement de système
• Prévoir une revue annuelle complète de l’inventaire
• Intégrer la cartographie dans le processus d’EFVP
• Automatiser la découverte d’actifs si possible