Loading...
Mise en conformité ou implémentation d'une plateforme Dynamics 365 (CRM, ERP, Customer Service, Sales) selon les exigences de la Loi 25 du Québec : cartographie des renseignements personnels, gestion des consentements, hébergement régional, journalisation, droits d'accès et de portabilité, évaluation des facteurs relatifs à la vie privée (EFVP).
La Loi 25 (officiellement *Loi modernisant des dispositions législatives en matière de protection des renseignements personnels*) modernise le cadre québécois de protection des renseignements personnels. Elle est entrée en vigueur par étapes entre 2022 et 2024, alignant le Québec sur les standards modernes du RGPD européen tout en conservant des spécificités locales. Pour toute organisation québécoise (privée comme publique) qui traite des renseignements personnels, les obligations sont multiples : désignation d'un responsable de la protection des renseignements personnels (RPRP), évaluation des facteurs relatifs à la vie privée (EFVP) avant tout nouveau projet, consentements explicites, droits d'accès, de rectification et de portabilité, notification des incidents dans les délais, politiques de rétention documentées et transparence vis-à-vis des personnes concernées. Les sanctions financières prévues sont substantielles, comparables au RGPD.
Dynamics 365 (Sales, Customer Service, Customer Insights, Marketing) est une cible naturelle de la Loi 25 car elle concentre massivement des renseignements personnels : noms, coordonnées, historique d'interactions, données comportementales, profils marketing. Beaucoup d'organisations québécoises héritent de paramétrages Dynamics non conformes : hébergement hors Canada, consentements implicites, journaux d'audit insuffisants, droits utilisateurs non outillés. Microsoft fournit l'infrastructure technique pour la conformité (régions canadiennes, Microsoft Purview, Compliance Manager) mais la mise en conformité juridique et organisationnelle reste à la charge du client. Notre expertise Dynamics 365 et Power Platform, encadrée par la méthodologie ATLAS, structure ce travail.
Trois moments typiques pour traiter la Loi 25 dans un projet Dynamics 365. Premièrement, avant un nouveau déploiement — c'est la situation idéale, on intègre les contrôles dès la conception et l'EFVP est produite naturellement avec le projet. Deuxièmement, lors d'une refonte ou d'une migration (Dynamics CRM on-premise vers Dynamics 365 cloud, par exemple) — l'occasion est saisie pour aligner sur la Loi 25. Troisièmement, en remédiation sur une plateforme existante — la mise en conformité se fait sans interrompre la production, par chantiers ciblés (consentements, journaux, droits utilisateurs, rétention). Les trois cas suivent la même méthode mais avec des contraintes opérationnelles différentes.
Dynamics CRM on-premise, Dynamics 365 cloud non conforme, ou nouveau déploiement
Dynamics 365 Cloud conforme Loi 25, hébergement Canada Central / East, contrôles privacy by design, EFVP signée
Choix par défaut. Hébergement Canada Central et East, régions souveraines Microsoft, Microsoft Purview pour la classification et la gouvernance, Customer Insights conforme, Customer Voice avec consentements granulaires. Recommandation principale pour les organisations Microsoft.
Cas où certaines données ultra-sensibles ne doivent jamais transiter en clair vers Microsoft (ex : santé, secteur public régulé). Une couche middleware (Azure API Management, fonction custom) pseudonymise avant insertion dans Dynamics, avec ré-identification contrôlée côté usage.
Cas où une partie des renseignements doit rester on-premise pour des raisons réglementaires sectorielles, malgré une architecture cloud principale. Plus complexe à maintenir, à n'envisager que si le besoin est clairement justifié.
Cas où l'organisation cherche une alternative à Dynamics, et profite du chantier Loi 25 pour réévaluer la plateforme. Effort important mais pertinent si Dynamics ne couvre pas les besoins fonctionnels.
Un programme de mise en conformité Loi 25 sur Dynamics 365 se structure généralement sur trois à neuf mois selon que l'on part d'un déploiement neuf, d'une refonte ou d'une remédiation. Pour un déploiement neuf privacy by design, comptez trois à cinq mois avec une cellule de quatre personnes : un consultant Dynamics 365 senior, un architecte Dynamics avec sensibilité privacy, un consultant juridique ou RPRP partenaire, un chef de projet. Pour une remédiation sur une plateforme existante, comptez six à neuf mois car les chantiers sont multiples (consentements, journaux, droits, rétention) et doivent être déployés sans rupture de production.
Confondre conformité technique (configuration Microsoft) et conformité juridique (EFVP, RPRP, processus). La Loi 25 exige les deux, et le cloud Microsoft seul ne fait pas la conformité.
Double pilotage : un volet technique avec architecte Dynamics et Microsoft Purview, un volet juridique avec le RPRP de l'organisation et un consultant juridique. Les deux volets convergent sur l'EFVP signée, qui couvre à la fois les contrôles techniques et les processus organisationnels. Voir la méthodologie ATLAS.
Sous-estimer la gestion des consentements. Sur Dynamics, les consentements sont souvent implicites ou non tracés, ce qui ne tient pas devant la Loi 25. Refondre les consentements après coup peut nécessiter de re-solliciter chaque contact.
Audit dédié des consentements : extraction des bases de contacts, qualification des bases légales actuelles (consentement, intérêt légitime, exécution contractuelle), conception d'une procédure de consentement explicite et granulaire pour les contacts existants et futurs. Customer Voice et les portails Power Pages outillent la collecte. La re-sollicitation des contacts existants est planifiée par campagnes ciblées.
Négliger la journalisation des accès aux renseignements personnels. La Loi 25 exige de pouvoir tracer qui a vu, modifié ou exporté quoi, et pendant combien de temps. Les paramétrages Dynamics par défaut ne suffisent pas.
Activation et configuration explicite d'Audit Log Search dans Microsoft Purview, avec rétention adaptée aux exigences (typiquement un à trois ans). Les exports Excel et les rapports critiques sont également journalisés (Power BI Audit Logs, Customer Insights). Une procédure de revue mensuelle des accès anormaux est mise en place avec le RPRP.
Oublier la portabilité et la suppression. Les utilisateurs ont le droit d'accéder à leurs données, de les exporter et d'obtenir leur effacement. Sur Dynamics, ces opérations ne sont ni outillées ni documentées par défaut.
Conception de procédures opérationnelles dédiées : extraction des données d'un contact en format lisible (PDF, JSON), export de portabilité, suppression conforme avec gestion des données dérivées (Power BI, Customer Insights, Customer Service tickets, sauvegardes). Les délais légaux (typiquement trente jours) sont monitorés via tickets dédiés et alertes Power Automate.
Considérer la conformité comme un projet ponctuel. La Loi 25 impose une gouvernance continue : nouveaux projets, nouveaux flux, nouveaux fournisseurs déclenchent une mise à jour de l'EFVP.
Gouvernance pérenne : EFVP vivante, mise à jour à chaque changement majeur, revue annuelle obligatoire avec le RPRP. Procédure formelle pour tout nouveau projet impliquant des renseignements personnels (template d'EFVP simplifiée pour les évolutions mineures). Le RPRP dispose d'un tableau de bord de conformité Power BI dédié.
Plateforme de gestion des services correctionnels bâtie sur Dynamics 365, Power Apps et Dataverse. Suivi des personnes incarcérées et en probation, modernisation des processus administratifs, conformité aux exigences de protection des données sensibles.
La Loi 25 du Québec modernise les obligations en matière de protection des renseignements personnels pour les organisations québécoises. Elle est entrée en vigueur par étapes entre 2022 et 2024 et impose la désignation d'un responsable de la protection des renseignements personnels, une évaluation des facteurs relatifs à la vie privée avant tout nouveau projet, des consentements explicites, des droits d'accès, de rectification et de portabilité, la notification des incidents, des politiques de rétention et la transparence. Dynamics 365, comme tout CRM, concentre massivement des renseignements personnels et tombe directement dans le champ de la Loi 25 : noms, coordonnées, historique d'interactions, profils marketing, données comportementales.
Cela dépend du point de départ. Pour un déploiement neuf privacy by design, comptez trois à cinq mois avec une cellule de quatre personnes (consultant Dynamics 365, architecte privacy, consultant juridique ou RPRP, chef de projet). Pour une remédiation sur une plateforme Dynamics existante, comptez six à neuf mois car les chantiers sont multiples (consentements, journaux, droits utilisateurs, rétention) et doivent être déployés progressivement sans rupture de production. Pour les organismes du secteur public déployant Dynamics CRM, le parcours CRM secteur public couvre l'ensemble du programme (workflows administratifs, portail citoyen, reporting Power BI) avec la conformité Loi 25 ou RGPD intégrée.
Les deux, dans un binôme structuré. Le RPRP (responsable de la protection des renseignements personnels) porte la conformité juridique, valide l'EFVP et arbitre les choix sensibles (consentements, transferts hors Québec, durées de rétention). La DSI porte la mise en œuvre technique sur Dynamics et Microsoft Purview. Notre cellule de co-delivery sert de point de jonction entre les deux : nous formalisons les exigences juridiques en spécifications techniques, et nous traduisons les contraintes techniques en clauses lisibles pour le RPRP. Sans ce binôme, le projet dérive soit vers du juridique sans portée opérationnelle, soit vers de la technique sans validation conforme.
Non, mais c'est un prérequis. Microsoft propose les régions Canada Central (Toronto) et Canada East (Québec) qui satisfont l'exigence d'hébergement régional. Cependant, la Loi 25 ne se résume pas à l'hébergement : elle exige aussi les consentements explicites, les droits utilisateurs outillés, la journalisation, la rétention documentée, la notification d'incidents, l'EFVP signée. L'hébergement est une condition nécessaire mais pas suffisante. Le travail sur Dynamics, Microsoft Purview, les processus opérationnels et la documentation reste à faire.
Trois options selon la situation. Si les bases légales actuelles (intérêt légitime, exécution contractuelle) couvrent l'usage, elles peuvent être conservées et documentées sans re-solliciter les contacts. Si un consentement explicite est requis, une campagne de re-sollicitation est lancée sur les contacts actifs (typiquement par email avec lien vers un portail de gestion des consentements Power Pages). Les contacts qui ne répondent pas après plusieurs relances sont basculés en statut sans consentement : on conserve les données pour respecter les obligations légales mais sans usage marketing actif. Toute la procédure est tracée et validée par le RPRP.
Plusieurs outils convergent. Microsoft Purview pour la classification des données, la gouvernance et la cartographie des renseignements personnels. Compliance Manager pour le suivi des contrôles et la production de rapports. Audit Log Search pour la journalisation des accès et modifications. Customer Voice pour la collecte de consentements explicites avec traçabilité. Customer Insights configuré conformément aux limites Loi 25. Power Pages pour les portails utilisateurs (gestion des consentements, droits d'accès, demandes de suppression). Power Automate pour orchestrer les workflows de notification d'incidents et de réponse aux demandes. Cet outillage doit être configuré explicitement, il n'est pas conforme par défaut.
Dynamics AX 2009 et AX 2012 sont hors support principal Microsoft. AX 2012 R3 a quitté le support principal en octobre 2018 et le support étendu en janvier 2023 — continuer à l'exploiter aujourd'hui signifie aucune mise à jour de sécurité Microsoft et un risque audit/conformité croissant. Le successeur est Dynamics 365 Finance & Operations (cloud-first, anciennement Dynamics 365 for Finance and Operations), dans lequel Microsoft investit activement avec releases trimestrielles, Copilot embarqué et intégrations modernes. Pour les organisations encore sur AX 2012, la migration n'est plus optionnelle dans les secteurs régulés. La trajectoire dure 12 à 24 mois pour une instance complexe multi-pays, avec un POC initial de 2-6 semaines pour mesurer la productivité. La méthodologie ATLAS est appliquée aux migrations Dynamics avec un registre interne de discordances classées. Voir le parcours Dynamics 365 + Loi 25.
Nous cadrons la trajectoire, le chiffrage et les livrables en un premier échange de trente minutes. Un POC court peut être proposé avant engagement du programme complet.
Lancer ce parcours →