Fintech montréalaise : conformité Loi 25 livrée en 6 semaines.

Six semaines avant un audit de la Commission d'accès à l'information du Québec (CAI), une fintech montréalaise (B2B, ~80 employés, traitement de paiements transfrontaliers FR-CA) découvre que sa mise en conformité Loi 25 est restée à l'état de PowerPoint. Le DPO interne a démissionné, le sous-traitant juridique a livré une politique de confidentialité mais aucun pipeline technique. Risque maximal : sanction CAI jusqu'à 25 M$ ou 4 % du CA mondial.

Notre intervention

Trois ingénieur·es Abbeal du Pôle Amériques (Montréal), 6 semaines de delivery dense, sprints d'une semaine. Audit-as-code, livraison continue, validation hebdo avec le CTO et le sous-traitant juridique. Cartographie complète des 47 endpoints touchant des données personnelles (dont 9 critiques), réécriture du module de consentement granulaire, pipeline de notification d'incident sub-72h, tests automatisés Cypress.

Résultats

Audit CAI passé sans réserve. Zéro impact sur la roadmap produit. Pipeline réutilisable pour les futurs marchés. Détail complet en version FR-CA (français du Québec, OQLF) sur cette même page.