Loi 25 : obligations de chiffrement des entreprises QC

En 2024, la Commission d’accès à l’information du Québec a émis ses premières sanctions pécuniaires substantielles sous la Loi 25. Pas contre de grandes entreprises américaines — contre des entreprises québécoises qui avaient négligé leurs obligations.

La Loi 25 est pleinement en vigueur depuis septembre 2023. Ce n’est plus “bientôt en vigueur”. C’est maintenant.

Et la faille la plus courante que je vois dans les PME québécoises n’est pas un manque de bonne volonté — c’est une incompréhension de ce que la loi exige techniquement.

Ce que la Loi 25 exige réellement

La Loi 25 modifie la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP). Ses articles clés pour la sécurité :

Article 10 : Toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits.

Article 23 : La communication de renseignements personnels à l’extérieur du Québec n’est permise que si la personne est assurée que les renseignements bénéficieront d’une protection adéquate.

Article 25 : Toute personne qui fait appel à des technologies d’anonymisation ou de dépersonnalisation de renseignements personnels doit s’assurer que ces technologies offrent un niveau de protection raisonnable.

Article 85 : Toute personne qui, dans le cadre d’une transaction commerciale, communique des renseignements personnels à une autre personne doit s’assurer que les mesures nécessaires sont prises.

Ce que la loi ne dit pas : “utilisez TLS 1.3”, “chiffrez avec AES-256”, “installez un VPN”. Elle fixe des résultats — confidentialité, intégrité, disponibilité — et vous laisse choisir les moyens techniques.

Ce que la CAI considère : est-ce que vos mesures sont “raisonnables” compte tenu de la sensibilité des données et du contexte de votre organisation ?

Les obligations techniques concrètes

Chiffrement en transit

Toute donnée personnelle qui voyage sur un réseau doit être chiffrée. Ça couvre :

• Votre site web : HTTPS obligatoire pour tout formulaire qui collecte des données. Certificat SSL/TLS valide. Pas de contenu mixte HTTP/HTTPS.
• Les emails avec données sensibles : les emails en clair ne sont pas chiffrés. Pour envoyer des dossiers médicaux, juridiques ou financiers par email, le chiffrement end-to-end (PGP, S/MIME) ou l’utilisation d’un portail sécurisé est requis.
• Transferts fichiers : FTP non chiffré est une violation. SFTP ou FTPS minimum.
• Accès à distance : VPN ou connexion chiffrée pour accéder aux systèmes internes à distance.

Chiffrement au repos

Les données stockées sur vos systèmes doivent être protégées :

• Bases de données : chiffrement at-rest pour les bases de données contenant des données personnelles sensibles (santé, financier, juridique).
• Fichiers locaux : les disques des ordinateurs portables et les supports amovibles (clés USB, disques durs externes) utilisés pour des données personnelles doivent être chiffrés.
• Cloud : choisir des fournisseurs qui offrent le chiffrement at-rest — et idéalement un modèle zero-knowledge.

Destruction sécurisée

La Loi 25 est explicite : les données doivent être détruites de façon sécurisée quand elles ne sont plus nécessaires.

Supprimer un fichier et vider la corbeille n’est pas une destruction sécurisée. Les données restent récupérables. Pour les données sensibles, la destruction doit être irréversible — écrasement sécurisé, dégaussage, ou destruction physique.

Pour les données numériques des clients, la politique de rétention et destruction doit être documentée.

Les failles les plus courantes dans les PME québécoises

Dans mes audits, je vois les mêmes lacunes revenir :

1. Emails non chiffrés pour des données sensibles Un notaire qui envoie des documents hypothécaires en pièce jointe email. Un CPA qui envoie des T4 par Gmail. Un médecin qui communique des résultats par email non chiffré. Ça arrive quotidiennement — et c’est une violation.

2. Ordinateurs portables sans chiffrement de disque L’employé dont l’ordinateur est volé dans son véhicule. Sans FileVault (Mac) ou BitLocker (Windows), toutes les données sont accessibles. C’est aussi une obligation de notification : une brèche impliquant un ordinateur non chiffré doit être déclarée à la CAI et aux individus concernés.

3. Clés USB non chiffrées Le classique. Un disque USB avec des données clients, perdu dans le métro. Sans chiffrement, c’est une brèche notifiable.

4. Hébergement cloud sans évaluation “On utilise Google Drive pour les dossiers clients.” Est-ce que Google offre une protection adéquate sous la Loi 25 ? Ça dépend. L’article 23 exige une évaluation avant de transférer des données hors Québec — y compris vers des services cloud américains.

5. Mots de passe partagés pour des systèmes contenant des données personnelles “Le mot de passe du système RH, c’est le nom de l’entreprise + l’année.” Pas d’authentification multi-facteurs. Pas de traçabilité des accès.

Professions les plus à risque

Certains secteurs collectent des données particulièrement sensibles sous la Loi 25 :

• Cliniques médicales, dentistes, physio : données de santé = catégorie sensible avec protections renforcées
• Notaires et avocats : dossiers clients avec données financières et personnelles sensibles
• CPA et comptables : déclarations de revenus, données financières personnelles
• RH et cabinets de recrutement : dossiers d’employés, évaluations, données de santé
• Garderies et établissements d’enseignement privés : données d’enfants = obligations spéciales de consentement

Checklist conformité Loi 25 — 10 points

1. HTTPS actif sur tous vos formulaires web qui collectent des données
2. FileVault/BitLocker activé sur tous les ordinateurs portables utilisés pour des données clients
3. Clés USB chiffrées pour les données en déplacement (ou suppression de l’usage des clés USB)
4. Politique de rétention documentée : combien de temps vous gardez les données, comment vous les détruisez
5. Évaluation des fournisseurs cloud : Google Drive, Dropbox, OneDrive — document d’évaluation du facteur relatif à la vie privée (EFVP)
6. Responsable de la protection des renseignements personnels (RPRP) désigné — obligatoire sous la Loi 25
7. Registre des incidents : documentation de toute brèche potentielle, même si elle ne nécessite pas de notification
8. Processus de notification en cas de brèche : délai de 72h pour notifier la CAI si risque de préjudice sérieux
9. Formation du personnel : tous les employés qui manipulent des données personnelles doivent connaître leurs obligations
10. Politique de confidentialité mise à jour : visible, claire, respectant les exigences de la Loi 25

---

La Loi 25 n’est pas un fardeau bureaucratique. C’est un cadre qui force à faire ce qu’on devrait déjà faire : traiter les données des clients avec le soin qu’elles méritent.

Les entreprises qui font cet exercice sérieusement découvrent souvent des risques qu’elles ignoraient — données sur des anciens serveurs non déconnectés, employés avec des accès excessifs, fournisseurs jamais évalués.

Un audit de conformité Loi 25 avec Sequr prend une demi-journée et produit un rapport actionnable. Pour les PME québécoises qui veulent savoir où elles en sont vraiment.

Sequr — Agent certifié québécois

---

À lire aussi :

• Secure Deletion : effacer un fichier ne l’efface pas vraiment
• Zero-Knowledge Storage : le serveur qui stocke sans voir
• CPVP vs CAI : qui surveille vraiment votre vie privée au Canada