Sophie tient une clinique de physiothérapie à Sherbrooke. Elle a 400 dossiers patients dans un fichier Excel partagé sur Dropbox — non chiffré, accessible à toutes ses employées depuis leur téléphone personnel. En 2023, ça aurait été “négligent”. En 2026, c’est une amende potentielle de 25 millions $ ou 4% du chiffre d’affaires mondial. La Commission d’accès à l’information du Québec a déjà commencé à sévir — et les PME ne sont pas épargnées.
Si vous lisez cet article, vous avez probablement une situation qui ressemble à celle de Sophie. Peut-être une liste de clients dans un Google Sheets, un CRM SaaS dont vous n’avez jamais signé le contrat de traitement, une politique de confidentialité copiée-collée depuis un site américain il y a cinq ans. Ce n’est pas un jugement — c’est la réalité de 80% des PME québécoises. Mais la réalité légale a changé.
C’est quoi la Loi 25 — en 60 secondes
La Loi 25 est la réforme québécoise de la protection des renseignements personnels. Elle modernise la Loi sur la protection des renseignements personnels dans le secteur privé, adoptée en 1994 — soit avant qu’Internet devienne un outil d’affaires.
Elle s’est déployée en trois phases :
- Septembre 2022 : Nomination obligatoire d’un Responsable de la Protection des Renseignements Personnels (RPP)
- Septembre 2023 : Déclaration des incidents à la CAI, registre des incidents obligatoire, ÉFVP avant tout nouveau système, droit à la portabilité des données
- Septembre 2024 : Consentement exprès obligatoire pour les données sensibles, droits élargis des individus (effacement, désindexation), règles sur les transferts hors Québec
Qui est touché? Toutes les organisations au Québec qui collectent, utilisent ou communiquent des renseignements personnels. Ça inclut :
- Les PME, peu importe leur taille
- Les travailleurs autonomes (oui, vous aussi)
- Les OBNL et associations
- Les cliniques, cabinets d’avocats, comptables, courtiers
- Les commerçants en ligne, même avec 50 clients
Il n’y a pas de seuil minimal. Une micro-entreprise avec une liste de 30 contacts courriel est légalement soumise à la Loi 25.
Ce que la Loi 25 oblige concrètement
Voici ce que la loi exige — pas en langage juridique, mais en ce que vous devez réellement faire.
Politique de confidentialité publiée et à jour
Votre organisation doit avoir une politique de confidentialité accessible en ligne, rédigée en langage clair (pas du juridique illisible). Elle doit préciser : quelles données vous collectez, pourquoi, combien de temps vous les gardez, avec qui vous les partagez, et comment les gens peuvent exercer leurs droits.
Marc-André, qui vend du coaching en ligne, avait copié une politique de confidentialité d’un concurrent américain. Problème : elle ne mentionnait pas la CAI, ne respectait pas les délais québécois, et était entièrement en anglais pour une clientèle francophone. Ce genre de “politique de façade” n’est pas conforme.
Désigner un Responsable Protection des Renseignements Personnels (RPP)
Chaque organisation doit nommer un RPP dont le nom et les coordonnées sont publics sur le site web. Dans une PME, c’est souvent le propriétaire. Aucune certification particulière n’est requise — mais la personne doit comprendre les obligations légales et être joignable pour les demandes de droits.
Tenir un registre des incidents de confidentialité
Le registre doit exister — même vide. Si un incident survient (courriel envoyé au mauvais destinataire, ransomware, ordinateur portatif perdu), vous l’inscrivez. La CAI peut demander ce registre lors d’une inspection.
Réaliser une ÉFVP avant tout nouveau système
Avant d’implanter un nouveau CRM, de lancer un formulaire de collecte, d’intégrer un outil RH ou de commencer à utiliser ChatGPT avec des données clients — vous devez réaliser une Évaluation des Facteurs relatifs à la Vie Privée (ÉFVP). C’est une analyse documentée : quelles données, pourquoi, durée de conservation, risques, mesures de protection. Pour une PME, deux à trois pages structurées suffisent.
Les 5 erreurs les plus fréquentes des PME québécoises
Bob est propriétaire d’un gym à Laval. Il n’est pas malveillant, il n’est pas négligent — il ne savait juste pas. Voici les cinq erreurs qu’il fait, que vous faites probablement aussi, et qui vous exposent aujourd’hui.
1. Listes d’envoi sans consentement explicite
Bob a importé dans Mailchimp tous les courriels collectés depuis 2018 — formulaires papier de l’accueil, achats en ligne, cartes de membre. Aucun de ces contacts n’a explicitement consenti à recevoir des communications marketing distinctes du service. La Loi 25 exige un consentement libre, éclairé et spécifique. “En vous inscrivant au gym, vous acceptez nos communications” ne suffit plus.
2. Données clients dans Excel ou Google Sheets non chiffré
Sophie (notre physio de Sherbrooke) tient ses 400 dossiers dans un fichier Excel sur Dropbox partagé. Pas de chiffrement au repos, pas de contrôle d’accès granulaire, accessible depuis les téléphones personnels des employées. Si un téléphone est volé ou si le compte Dropbox est compromis — incident déclarable à la CAI, notification aux 400 patients, registre à remplir. Le coût de la négligence dépasse largement celui d’un vrai système.
3. Sous-traitants cloud sans contrat de traitement
Mailchimp. HubSpot. Calendly. Stripe. Google Workspace. Ces outils traitent les données de vos clients. La Loi 25 exige que vous ayez un accord de traitement signé (Data Processing Agreement) avec chacun d’eux. Un simple abonnement SaaS ne constitue pas un contrat de traitement conforme. La plupart des grands fournisseurs offrent un DPA sur demande — mais il faut le demander et le signer.
4. Pas de RPP désigné formellement
“C’est moi qui gère ça” n’est pas une désignation formelle. La Loi 25 exige que le nom et les coordonnées du RPP soient publiés sur le site web. Si la CAI cherche votre RPP et ne trouve aucune mention sur votre site, c’est une non-conformité documentée.
5. Aucun processus de réponse aux incidents
Marc-André, le coach, reçoit un lundi matin un courriel de son hébergeur : son site a été piraté. Il n’a aucun plan. Il rappelle son neveu qui “est bon en informatique”. Résultat : cinq jours sans notification à la CAI (délai maximum : 72 heures), aucune notification aux clients touchés, aucun registre. Chaque heure supplémentaire aggrave son exposition légale.
La checklist conformité Loi 25 — PME
Imprimez ça. Cochez réellement.
URGENT — À faire dans les 30 prochains jours
- Nommer un RPP et publier son nom + coordonnées sur votre site web
- Créer un registre des incidents (un fichier Google Docs suffit pour commencer)
- Activer le 2FA sur tous les systèmes contenant des données clients
- Vérifier que votre politique de confidentialité est à jour et en ligne
IMPORTANT — À compléter dans les 90 prochains jours
- Remplacer tous les consentements implicites par des consentements explicites (cases à cocher non pré-cochées)
- Chiffrer les ordinateurs portables et disques durs avec des données personnelles
- Signer un DPA avec chaque fournisseur SaaS (Mailchimp, HubSpot, Google, etc.)
- Documenter vos catégories de données et durées de conservation
- Former votre équipe aux bases : phishing, mots de passe, incidents
RECOMMANDÉ — Dans les 6 prochains mois
- Rédiger un plan de réponse aux incidents (même une page — qui appelle qui, dans quel ordre)
- Réaliser une ÉFVP pour chaque système majeur qui collecte des données personnelles
- Auditer vos listes d’envoi pour valider les consentements
Les premières décisions de la CAI — ce qui s’est vraiment passé
La Commission d’accès à l’information n’est pas une institution théorique. Elle enquête, elle demande des comptes, elle impose des sanctions.
En 2024, la CAI a ouvert plus de 400 dossiers d’enquête — une augmentation significative par rapport aux années précédentes. Ses premières sanctions administratives pécuniaires (SAP) ont visé des organisations qui n’avaient pas déclaré des incidents dans les délais, qui n’avaient pas de RPP nommé, ou qui traitaient des données sensibles sans les protections adéquates.
Parmi les cas rendus publics : des organisations du secteur de la santé qui stockaient des données médicales sans chiffrement, des entreprises de services professionnels qui utilisaient des mots de passe partagés sur des systèmes contenant des informations financières de clients, et des détaillants en ligne qui n’avaient pas de politique de confidentialité accessible.
Ce qui est important à comprendre : la CAI ne cherche pas à ruiner une petite entreprise de bonne foi. Elle cherche à voir que vous avez fait des efforts raisonnables et documentés. Une PME qui a un RPP nommé, une politique de confidentialité à jour, et un registre d’incidents (même vide) est dans une position incomparablement meilleure qu’une organisation qui n’a rien fait du tout.
La SAP maximale pour une organisation est de 25 millions $ ou 4% du chiffre d’affaires mondial. Pour une PME de 500K$ de revenus, ça représente 20 000 $ d’amende possible — pas de quoi fermer boutique, mais largement de quoi gâcher une bonne partie de l’année.
Par où commencer demain matin si tu n’as rien fait
Pas de panique. Trois actions concrètes, par ordre d’impact.
Action 1 — Nommer votre RPP et le publier (45 minutes)
Ouvrez votre site web. Allez dans votre politique de confidentialité (ou créez une page si vous n’en avez pas). Ajoutez : “Le responsable de la protection des renseignements personnels est [Votre Nom], joignable à [votre courriel professionnel].” Publiez. C’est tout pour cette étape. Vous êtes maintenant en conformité sur cet aspect spécifique.
Action 2 — Créer votre registre des incidents (30 minutes)
Créez un Google Doc ou un fichier Excel intitulé “Registre des incidents de confidentialité”. Colonnes : date de découverte, description de l’incident, données touchées, personnes touchées, actions prises, date de déclaration à la CAI. Sauvegardez-le dans un endroit que vous retrouverez. Votre registre existe maintenant — même vide, c’est une preuve de bonne foi.
Action 3 — Auditer vos mots de passe et activer le 2FA (2 heures)
Listez tous vos systèmes qui contiennent des données clients : CRM, courriel, comptabilité, hébergement, Dropbox, Google Drive. Activez le 2FA sur chacun. Si certains membres de votre équipe utilisent des mots de passe partagés ou des mots de passe faibles, changez-les maintenant. C’est la mesure qui a le plus d’impact concret sur votre exposition aux incidents.
Loi 25 vs RGPD — si tu vends aussi en Europe
La Loi 25 s’inspire largement du RGPD européen, mais les deux sont des lois distinctes avec des exigences qui ne se recoupent pas parfaitement.
Les deux s’appliquent si : vous offrez des biens ou services à des résidents de l’Union européenne, ou si vous analysez leur comportement en ligne (publicité ciblée, analytics, etc.).
La Loi 25 s’applique seule si : vous opérez exclusivement au Québec ou au Canada, avec des clients uniquement canadiens.
Différences clés :
| Aspect | Loi 25 (Québec) | RGPD (Europe) |
|---|---|---|
| Délai notification incident | 72 heures à la CAI | 72 heures à l’autorité nationale |
| ÉFVP obligatoire | Avant tout nouveau système | Pour traitements à risque élevé |
| Droit à la désindexation | Oui (spécifique Loi 25) | Droit à l’effacement (similaire) |
| Amendes max | 25M$ ou 4% CA mondial | 20M€ ou 4% CA mondial |
| Représentant local obligatoire | RPP désigné | DPO selon critères |
La conformité RGPD est un bon point de départ pour la Loi 25, mais elle ne garantit pas la conformité. Les ÉFVP québécoises ont leur propre cadre (la CAI a publié un guide), et les délais de notification sont identiques mais les formulaires sont différents.
Si vous vendez en Europe et au Québec, une mise en conformité combinée est plus efficace qu’une approche séparée. Les principes fondamentaux — minimisation des données, consentement explicite, droits des individus, sécurité appropriée — sont partagés.
À lire aussi
- Protéger sa vie privée en ligne : le guide complet
- Vos données sont déjà en ligne — voici où
- Vol d’identité au Canada : les étapes exactes à suivre
La Loi 25 n’est pas qu’une contrainte réglementaire. C’est une occasion de construire une relation de confiance avec vos clients — et de vous protéger contre des coûts d’incident qui, eux, peuvent vraiment mettre une PME en difficulté. Un ransomware qui touche des données non chiffrées et non sauvegardées coûte en moyenne entre 50 000 $ et 200 000 $ à une PME. La conformité coûte une fraction de ça.
Vous voulez savoir exactement où vous en êtes? Sequr offre des audits de conformité Loi 25 adaptés aux PME québécoises : bilan de votre situation actuelle, plan d’action priorisé, accompagnement dans la mise en œuvre.
