Le RGPD m'a appris quelque chose que la Loi 25 a confirmé : les organisations ne ratent pas leur conformité par manque de technologie. Elles la ratent par manque de préparation humaine.
Quand le RGPD a débarqué en France, j'étais dans la fonction publique. Et j'ai vu quelque chose que je n'oublierai pas : des organisations entières partir en sprint sans savoir dans quelle direction courir.
Chantiers lancés en urgence. Équipes découvrant la réforme en même temps qu'on leur demandait de la déployer. Des priorités qui s'empilent, des équipes qui courent. Et au bout du compte, une dette technique creusée à coups de solutions rapides qui ont mis des années à démêler.
En 2023, j'arrive au Québec. La Loi 25 tourne déjà depuis un an. Et dans les organisations, ça court dans tous les sens.
Le RGPD, la Loi 25. Même combat. Mêmes fractures.
Il y a une vérité inconfortable dans toutes les transformations réglementaires : le problème n'est presque jamais technique.
Les outils existent. Les fournisseurs existent. Les budgets finissent toujours par se trouver.
Ce qui fait dérailler les chantiers, c'est l'humain. Pas parce que les équipes sont incompétentes ou récalcitrantes. Parce qu'on leur demande de changer sans leur expliquer pourquoi.
La techno, c'est 20% du problème. Le reste, c'est la préparation des gens qui vont vivre avec.
Identiques en France avec le RGPD, identiques au Québec avec la Loi 25. Cliquez pour développer.
Si personne dans votre organisation ne peut répondre à cette question en 30 secondes, vous avez un problème. Pas un problème technique, un problème de clarté.
J'ai vu des équipes TI complètes perdre leurs repères pendant des mois. Pas parce qu'elles refusaient de s'adapter. Parce que la transformation avait redessiné les responsabilités sans que personne ne prenne le temps d'expliquer qui fait quoi, pourquoi, et comment.
Tout le monde est un peu responsable de la sécurité. Donc personne ne l'est vraiment. Les incidents passent entre les mailles. Pas par malveillance. Par désorientation.
C'est l'erreur de lecture la plus fréquente, et la plus coûteuse.
Une équipe dont la productivité chute pendant une transformation, ce n'est pas une équipe qui résiste. C'est une équipe perdue qui fait de son mieux avec des outils et des processus qu'elle ne maîtrise pas encore.
À la résistance, on répond par la pression. À la désorientation, on répond par la clarté.
Les organisations qui ont bien traversé le RGPD en France sont celles qui ont su faire cette distinction. Elles ont investi du temps à comprendre ce qui se passait réellement sur le terrain avant de corriger le tir.
C'est la source de tout le reste.
"Dorénavant, vous devez faire X." Sans contexte. Sans explication.Un processus qu'on ne comprend pas, on l'applique mécaniquement. La moindre exception devient un blocage. La moindre ambiguïté, une décision qu'on n'ose pas prendre seul.
C'est la dette organisationnelle. Elle se creuse aussi sûrement que la dette technique, et elle est beaucoup plus longue à rembourser.
Ce n'est pas une opinion. C'est ce que les données terrain confirment, des deux côtés de l'Atlantique.
Les transformations qui ont bien fonctionné ont toutes fait la même chose : elles ont investi dans la sensibilisation avant de lancer les chantiers.
Pas une formation PowerPoint un vendredi après-midi. Une vraie préparation : expliquer l'enjeu, définir les rôles, répondre aux questions inconfortables, créer des ambassadeurs internes avant de déployer des outils.
C'est contre-intuitif quand la pression réglementaire est forte. Mais une équipe non préparée qui reçoit un chantier technique, c'est deux fois plus long, deux fois plus cher, et trois fois plus frustrant pour tout le monde.
La Loi 25 est pleinement en vigueur depuis septembre 2024. La CAI n'envoie pas d'avertissement. Elle enquête, constate, publie ses décisions.
Avant de mandater qui que ce soit, avant de choisir un outil, posez une seule question à votre équipe :
"Votre équipe subit-elle ce chantier ou elle le comprend ?"
Si la réponse hésite, commencez là. Le reste suivra beaucoup plus facilement.
Un regard externe de quelqu'un qui a traversé le RGPD en France et la Loi 25 au Québec. Pas un audit de conformité générique. Une lecture technique et stratégique de votre situation réelle.
Demander un audit