Nexconform
Guide secteur 22 000+ entreprises

Loi 25 pour Construction : guide pratique 2026

Équipe Nexconform

Les entreprises de construction québécoises gèrent des données sensibles sur des chantiers multiples et souvent éloignés. Les clients, sous-traitants, et employés génèrent des données qui transitent via des appareils mobiles, des réseaux peu sécurisés, et des outils de collaboration cloud. Avec 22 000+ entreprises et 75% de digitalisation, la sécurité des accès distants et la gestion des sous-traitants sont critiques.

Plan de conformité Loi 25 pour construction : 8 étapes

1

Désigner un RPRP

15 min

Nommez un responsable de la protection des renseignements personnels au sein de l'entreprise.

Actions

  • Désigner un RPRP (propriétaire ou gestionnaire)
  • Publier coordonnées sur site web et documents
  • Informer la CAI de la désignation

Livrable

Coordonnées RPRP publiées

2

Inventaire des données chantiers

1h 30

Identifiez toutes les données : clients, projets, sous-traitants, employés, photos.

Actions

  • Lister tous les dossiers clients actifs
  • Identifier les données sur appareils mobiles
  • Cartographier les flux avec sous-traitants

Livrable

Inventaire des données construction

3

Analyse des risques BTP

1h

Évaluez les risques spécifiques : appareils mobiles, accès distants, sous-traitants.

Actions

  • Évaluer risques d'appareils mobiles sur chantier
  • Identifier risques accès distants non sécurisés
  • Scorer risques sous-traitants

Livrable

Analyse des risques BTP

4

Sécurisation des accès distants

1h

Mettez en place un VPN obligatoire et l'authentification multifactorielle pour tous les accès.

Actions

  • Déployer VPN entreprise
  • Activer MFA sur tous les comptes
  • Configurer chiffrement des appareils mobiles

Livrable

Accès distants sécurisés (VPN + MFA)

5

Contrats avec sous-traitants

1h

Signez des contrats de confidentialité avec tous les sous-traitants ayant accès aux données.

Actions

  • Rédiger modèle de contrat de confidentialité
  • Signaler avec tous les sous-traitants actifs
  • Établir procédure fin de contrat (récupération données)

Livrable

Contrats de confidentialité signés

6

Registre des traitements

1h

Documentez chaque traitement : finalités, durées, sous-traitants (hébergeur, CRM, comptabilité).

Actions

  • Documenter finalités des traitements
  • Définir durées conservation (10 ans garantie)
  • Lister tous les sous-traitants

Livrable

Registre RP construction complet

7

Politique et procédures

45 min

Rédigez une politique de confidentialité et établissez les procédures de sécurité chantier.

Actions

  • Rédiger politique adaptée à la construction
  • Établir procédure utilisation appareils mobiles
  • Créer checklist sécurité chantier

Livrable

Politique + procédures documentées

8

Formation du personnel

1h

Formez les employés et sous-traitants aux bonnes pratiques de sécurité sur les chantiers.

Actions

  • Former aux risques des accès distants
  • Expliquer procédure VPN et MFA
  • Signer engagements confidentialité

Livrable

Attestations de formation signées

Obligations spécifiques pour les construction

1

Sécurité des accès depuis les chantiers

Les chantiers sont des environnements non sécurisés. Les accès aux données clients depuis ces lieux doivent utiliser des connexions chiffrées (VPN), l'authentification multifactorielle, et des appareils verrouillés.

2

Gestion des sous-traitants

Les sous-traitants ont accès aux données clients et aux plans. Vous devez signer des contrats de confidentialité avec chacun, limiter leur accès aux données strictement nécessaires, et récupérer les données à la fin du contrat.

3

Protection des plans et documents techniques

Les plans contiennent des informations sensibles sur les clients et les sites. Leur partage doit être contrôlé, traçable, et sécurisé. Évitez les partages par email non chiffré ou des outils de cloud non professionnels.

4

Conservation des dossiers de chantier

Les dossiers doivent être conservés pendant la durée de la garantie décennale (10 ans) puis détruits sécuritairement. Les données ne doivent pas être conservées indéfiniment sur des serveurs ou des backups.

Risques principaux et solutions

Risque

Perte ou vol d'appareils mobiles

Conséquence

Ordinateurs portables, tablettes, ou téléphones contenant des données clients volés ou perdus sur des chantiers. Accès direct aux données si non chiffrées.

Solution

Chiffrement de tous les appareils mobiles (BitLocker/FileVault). Géolocalisation et effacement à distance. VPN obligatoire pour tous les accès.

Risque

Partage non sécurisé de plans

Conséquence

Transmission de plans et devis par email ou Google Drive/Dropbox sans contrôle d'accès. Fuite d'informations sur les clients et les projets.

Solution

Portail de partage sécurisé avec contrôle d'accès. Liens temporaires avec expiration. Watermarking des documents partagés.

Risque

Accès depuis réseaux publics

Conséquence

Connexion depuis des WiFi publics (cafés, hôtels) sans VPN. Interception des données par des attaquants sur le même réseau.

Solution

VPN obligatoire pour tous les accès distants. Interdiction formelle des connexions sur réseaux publics non sécurisés. Formation du personnel.

Risque

Fuite via sous-traitants

Conséquence

Les sous-traitants conservent des copies des données clients après la fin du contrat, ou partagent les informations avec d'autres parties.

Solution

Contrats de confidentialité systématiques. Accès limité aux données nécessaires. Récupération des données et attestation de destruction en fin de contrat.

Actifs de données à protéger

élevée

Dossiers clients chantiers

Contrats de construction, devis détaillés, plans architecturaux, informations financières clients, correspondance projet

élevée

Plans et documents techniques

Plans d'architecture, schémas électriques, plans de structure, permis de construction, rapports d'ingénierie

moyenne

Données sous-traitants

Contrats sous-traitance, coordonnées, assurances, informations de paie, historique des projets communs

élevée

Fichiers employés chantiers

NAS, contrats, fiches de paie, horaires, formations sécurité, incidents de chantier

moyenne

Photos et vidéos de chantier

Suivi de progression, rapports d'inspection, photos avec ouvriers identifiables, drones de surveillance

Cas client : Construction Générale Québec

C

Construction Générale Québec

85 employés, 35 sous-traitants

Conformité complète en 6 heures. VPN et MFA déployés sur tous les chantiers. Aucun incident de sécurité depuis 18 mois.

"Le VPN sur les chantiers nous a permis d'accéder en toute sécurité aux plans depuis n'importe où. Les sous-traitants apprécient la clarté des contrats de confidentialité."

Exemple de sanction réelle

Une entreprise de construction de la rive-sud a été sanctionnée à hauteur de 40 000 $ en 2024 suite à la perte d'un ordinateur portable non chiffré contenant les données de 200 clients et les plans détaillés de 15 projets résidentiels.

Questions fréquentes

Dois-je signer des contrats de confidentialité avec tous mes sous-traitants ?

Oui, c'est fortement recommandé. Les sous-traitants ayant accès aux données clients ou aux plans doivent signer un contrat de confidentialité définissant leurs obligations Loi 25 et la procédure de restitution des données en fin de contrat.

Comment sécuriser les accès depuis des chantiers éloignés ?

Utilisez un VPN obligatoire pour tous les accès distants. Activez l'authentification multifactorielle (MFA) sur tous les comptes. Chiffrez tous les appareils mobiles. Interdisez les connexions sur les réseaux WiFi publics non sécurisés.

Combien de temps dois-je conserver les dossiers de chantier ?

La garantie décennale oblige à conserver les dossiers pendant 10 ans après la réception des travaux. Au-delà, vous devez détruire sécuritairement les données avec certificat de destruction.

Rejoignez les Construction conformes

22 000+ entreprises utilisent déjà Nexconform pour automatiser leur conformité.

Créer mon compte gratuitVoir une démo