Loi 25 Québec : ce que chaque PME doit savoir et faire maintenant
La Loi 25 au Québec — officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — est pleinement en vigueur depuis septembre 2023. Pourtant, la majorité des PME québécoises ne sont pas conformes. Certaines ne savent pas qu’elles sont visées. D’autres pensent que ça ne s’applique qu’aux grandes entreprises. C’est une erreur coûteuse : les sanctions peuvent aller jusqu’à 25 millions de dollars ou 4% du chiffre d’affaires mondial.
Ce guide est pour les propriétaires de PME qui veulent comprendre leurs obligations réelles et savoir quoi faire concrètement.
Qui est visé par la Loi 25 ?
Toute organisation québécoise qui collecte, utilise, communique ou conserve des renseignements personnels sur des personnes physiques est visée. Il n’y a pas de seuil de taille d’entreprise.
Ça inclut :
- Boutiques en ligne
- Cliniques et professionnels de la santé
- Cabinets d’avocats, comptables, consultants
- Restaurateurs qui ont une liste d’emails clients
- Salons de coiffure qui gardent un fichier client
- Entrepreneurs qui facturent avec les coordonnées des clients
- Toute entreprise avec un site web qui collecte des données via formulaire ou cookies
En pratique : si tu as une liste de clients, un site web avec un formulaire de contact, ou si tu utilises un logiciel CRM, tu es visé.
Les renseignements personnels couverts
La loi définit un renseignement personnel comme “toute information qui permet d’identifier directement ou indirectement une personne physique.” Ça inclut :
- Nom et coordonnées (adresse, téléphone, email)
- Date de naissance
- NAS et informations financières
- Adresse IP et identifiants en ligne
- Historique de navigation et d’achats
- Données de géolocalisation
- Photos, vidéos, voix
- Données de santé
- Données biométriques
Les obligations principales de la Loi 25
1. Désigner un Responsable de la protection des renseignements personnels (RPRP)
Obligation depuis septembre 2022.
Chaque organisation doit désigner une personne responsable de la conformité à la protection des données. Dans une PME, c’est souvent le dirigeant lui-même. Son identité doit être publiée sur le site web de l’entreprise.
Ce que ça implique :
- Publier le nom et les coordonnées du RPRP sur ton site
- Le RPRP gère les demandes d’accès et les incidents
- Il doit s’assurer que les pratiques de l’organisation respectent la loi
2. Politique de confidentialité accessible et claire
Obligation depuis septembre 2022.
Ton site web doit avoir une politique de confidentialité qui explique :
- Quels renseignements tu collectes
- Pourquoi tu les collectes
- Comment tu les utilises
- Avec qui tu les partages
- Combien de temps tu les conserves
- Comment les gens peuvent accéder à leurs données ou les faire supprimer
Elle doit être rédigée en termes simples et facilement accessible (pas enfouie dans les pieds de page).
3. Consentement explicite et granulaire
Obligation depuis septembre 2023.
Le consentement doit être :
- Libre : pas conditionnel à l’utilisation du service pour les collectes non essentielles
- Éclairé : la personne doit savoir exactement ce à quoi elle consent
- Explicite pour les renseignements sensibles
- Révocable : la personne doit pouvoir retirer son consentement facilement
Ce que ça signifie en pratique :
- Les cases pré-cochées pour l’infolettre ne sont plus valides
- Tu dois demander un consentement séparé pour chaque finalité distincte (marketing, partage avec des tiers, etc.)
- Les bannières de cookies doivent être conformes
4. Évaluation des facteurs relatifs à la vie privée (EFVP)
Obligation depuis septembre 2023.
Avant de mettre en œuvre un nouveau système ou projet impliquant des renseignements personnels à haut risque, tu dois faire une EFVP. C’est une analyse des risques pour la vie privée.
Exemples de projets qui l’exigent :
- Nouveau logiciel CRM
- Système de vidéosurveillance
- Application mobile avec données clients
- Partage de données avec un tiers
5. Notification des incidents de confidentialité
Obligation depuis septembre 2022.
Si tu as un incident de confidentialité (vol de données, accès non autorisé, perte), tu as des obligations strictes :
- Évaluer l’incident : y a-t-il un risque sérieux de préjudice ?
- Notifier la CAI (Commission d’accès à l’information du Québec) dans les 72 heures si le risque est sérieux
- Notifier les personnes concernées dans les meilleurs délais
- Tenir un registre de tous les incidents, même ceux à faible risque
6. Droits des personnes
Les individus dont tu détiens des renseignements ont le droit de :
- Savoir quelles données tu as sur eux
- Accéder à leurs données
- Faire corriger des données inexactes
- Demander la suppression de leurs données (droit à l’oubli)
- Obtenir leurs données dans un format lisible (portabilité)
- S’opposer à certains traitements
Tu dois avoir un processus pour répondre à ces demandes dans les 30 jours.
7. Minimisation des données
Ne collecte que les renseignements nécessaires à tes fins déclarées. Si tu n’as pas besoin de la date de naissance pour envoyer une infolettre, ne la demande pas.
8. Durée de conservation limitée
Tu dois définir des durées de conservation pour chaque type de renseignement et t’y tenir. Une fois la durée expirée, les données doivent être détruites ou anonymisées.
Les sanctions
La Commission d’accès à l’information (CAI) peut imposer :
- Sanctions pénales : jusqu’à 25 millions de dollars ou 4% du chiffre d’affaires mondial (le plus élevé des deux)
- Pour les personnes physiques : jusqu’à 100 000$ pour les infractions mineures
- Sanctions administratives pécuniaires pour non-conformité
La CAI publie ses décisions publiquement. Une sanction peut nuire significativement à la réputation d’une PME.
Par où commencer : la checklist pratique pour les PME
Court terme (à faire maintenant)
- Désigner un RPRP et publier son identité sur ton site web
- Mettre à jour ou créer une politique de confidentialité complète
- Auditer ce que tu collectes, pourquoi, et pour combien de temps
- Vérifier tes formulaires de consentement (cases pré-cochées → retirer)
- Créer un registre des incidents (même si tu n’en as eu aucun)
Moyen terme
- Mettre en place un processus de réponse aux demandes d’accès
- Revoir les contrats avec tes fournisseurs qui traitent des données pour toi (ex. : logiciel comptable, CRM cloud)
- Faire une EFVP avant le prochain projet impliquant des données clients
- Former ton équipe sur les bases de la confidentialité
Long terme
- Intégrer la protection de la vie privée dans tous tes nouveaux projets dès la conception (Privacy by Design)
- Réviser tes politiques annuellement
- Documenter toutes tes pratiques de traitement de données
Les erreurs les plus courantes des PME québécoises
- “Je suis trop petit pour être visé” — Faux. La loi s’applique à toutes les tailles.
- Politique de confidentialité copiée-collée d’internet — Invalide si elle ne correspond pas à tes pratiques réelles.
- Oublier les fournisseurs tiers — Si ton CRM ou ton service d’infolettre est dans un autre pays, tu as des obligations supplémentaires.
- Pas de processus pour les demandes d’accès — Si quelqu’un demande à voir ses données et que tu n’as pas de processus, tu es en infraction.
- Garder des données indéfiniment — Sans durée de conservation définie, tu es vulnérable.
Ressources officielles
- Commission d’accès à l’information du Québec (CAI)
- Guide pratique de la CAI pour les entreprises
- Texte de la loi (Légis Québec)
Tu veux savoir si ta PME est conforme à la Loi 25 ? Je fais des audits de conformité pour les PME québécoises — évaluation de tes pratiques actuelles, identification des lacunes et plan de mise en conformité. Écris-moi à khalid@sequr.ca.
Voir aussi : PIPEDA et Loi 25 : guide de conformité pour les PME québécoises — Guide complet cybersécurité pour PME au Québec
