Loi 25 pour les PME : Guide complet de conformité
228 000 entreprises québécoises doivent se conformer à la Loi 25. Les pénalités peuvent atteindre 25 millions de dollars. Ce guide couvre tout ce que vous devez savoir — en langage clair, sans jargon juridique.
Qu'est-ce que la Loi 25?
La Loi 25 (anciennement le projet de loi 64) modernise le cadre de protection des renseignements personnels au Québec. Adoptée en 2021 et déployée en trois phases (2022, 2023, 2024), elle impose des obligations strictes à toute entreprise qui recueille, utilise ou communique des renseignements personnels au Québec.
En termes simples : si votre entreprise détient le nom, le courriel, le numéro de téléphone, l'adresse ou toute autre information identifiant un individu — vous êtes visé.
Contrairement au RGPD européen ou à la CCPA californienne, la Loi 25 exige un consentement explicite par opt-in pour toute collecte de données. C'est la loi la plus stricte en Amérique du Nord en matière de protection de la vie privée.
Qui doit se conformer?
Toute entreprise au Québec. Il n'y a pas de seuil minimal. Que vous ayez 2 employés ou 2 000, la Loi 25 s'applique. Les travailleurs autonomes, les OBNL et les ordres professionnels sont également visés.
Si vous êtes courtier hypothécaire, courtier en assurance, entrepreneur en construction, comptable, notaire, dentiste, optométriste, propriétaire de restaurant, ou tout autre professionnel qui traite des données de clients — vous devez vous conformer.
Les pénalités
| Type | Montant maximal | Contexte |
|---|---|---|
| Administrative | 10 M$ ou 2 % du CA mondial | Non-conformité générale |
| Pénale | 25 M$ ou 4 % du CA mondial | Infractions graves, récidive |
| Dommages-intérêts punitifs | Minimum 1 000 $ par personne | Droit privé d'action des individus |
L'organisme d'application est la Commission d'accès à l'information du Québec (CAI). La CAI a le pouvoir de mener des enquêtes, d'imposer des sanctions et de rendre des ordonnances.
Les 10 obligations essentielles
Voici les 10 piliers de la conformité à la Loi 25. Chacun est obligatoire — pas optionnel.
Obligation 1
Désigner un responsable de la protection des renseignements personnels
Chaque entreprise doit désigner une personne responsable de la conformité. Par défaut, c'est la personne ayant la plus haute autorité dans l'entreprise. Cette personne est le point de contact officiel avec la CAI.
Action : Nommez un responsable, documentez sa nomination et publiez ses coordonnées sur votre site web.
Obligation 2
Tenir un inventaire des renseignements personnels
Vous devez savoir exactement quelles données personnelles vous détenez, où elles sont stockées, qui y a accès, et à quelles fins elles sont utilisées. Cet inventaire doit être documenté et tenu à jour.
Action : Créez un registre listant chaque type de donnée personnelle, son emplacement, sa finalité et les personnes autorisées à y accéder.
Obligation 3
Obtenir un consentement explicite
La Loi 25 exige un consentement libre, éclairé, spécifique et donné à des fins déterminées. Les cases pré-cochées, le consentement implicite et les formulations vagues ne sont plus acceptables.
Pour les mineurs de moins de 14 ans, le consentement du titulaire de l'autorité parentale est requis.
Action : Révisez tous vos formulaires de collecte. Assurez-vous que chaque consentement est explicite, non pré-coché, et spécifique à chaque usage.
Obligation 4
Réaliser une évaluation des facteurs relatifs à la vie privée (EFVP)
Avant tout nouveau projet impliquant la collecte, l'utilisation ou la communication de renseignements personnels, vous devez réaliser une EFVP. Cela inclut l'acquisition d'un nouveau logiciel, le lancement d'une campagne marketing, ou la mise en place d'un nouveau système de gestion.
Action : Avant chaque nouveau projet, évaluez les risques pour la vie privée et documentez les mesures de protection prévues.
Obligation 5
Tenir un registre des incidents de confidentialité
Tout incident impliquant un accès non autorisé, une utilisation non autorisée, une communication non autorisée ou la perte de renseignements personnels doit être consigné dans un registre — même si l'incident ne présente pas de risque de préjudice sérieux.
Action : Créez un registre d'incidents et formez vos employés à signaler tout incident, même mineur.
Obligation 6
Notifier la CAI en cas d'incident grave (72 heures)
Lorsqu'un incident présente un risque de préjudice sérieux pour les personnes concernées, vous devez aviser la CAI dans les 72 heures suivant la prise de connaissance de l'incident. Vous devez également aviser les personnes concernées.
Action : Établissez un protocole de notification avec des modèles prêts à l'emploi. 72 heures, c'est court — soyez prêt avant que l'incident survienne.
Obligation 7
Répondre aux demandes d'accès, de rectification et de suppression
Les individus ont le droit de savoir quelles données vous détenez à leur sujet, de demander la rectification d'informations inexactes et de demander la suppression de leurs données. La Loi 25 ajoute aussi le droit à la portabilité : les individus peuvent demander leurs données dans un format structuré et couramment utilisé.
Action : Mettez en place un processus documenté pour traiter les demandes d'accès, de rectification, de suppression et de portabilité dans un délai de 30 jours.
Obligation 8
Former vos employés
Tout employé qui traite des renseignements personnels doit recevoir une formation sur ses obligations en vertu de la Loi 25. Cette formation doit être documentée et mise à jour régulièrement.
Action : Planifiez une formation annuelle pour tous les employés concernés. Documentez la date, le contenu et les participants.
Obligation 9
Signer des ententes de confidentialité avec vos fournisseurs
Si vous partagez des renseignements personnels avec des sous-traitants, fournisseurs ou partenaires, vous devez conclure des ententes écrites prévoyant des mesures de protection adéquates. Vous restez responsable de la protection des données, même si elles sont traitées par un tiers.
Action : Inventoriez tous vos fournisseurs qui accèdent à des données personnelles. Signez des ententes de confidentialité avec chacun d'entre eux.
Obligation 10
Adopter une politique de conservation et de destruction
Les renseignements personnels ne doivent être conservés que le temps nécessaire à la réalisation des fins pour lesquelles ils ont été recueillis. À l'expiration de ce délai, ils doivent être détruits de manière sécurisée, et cette destruction doit être documentée.
Action : Définissez des délais de conservation par type de donnée. Mettez en place un calendrier de destruction et documentez chaque destruction effectuée.
Évaluez votre conformité en 2 minutes
Où en êtes-vous? Répondez à 10 questions et obtenez votre score de conformité instantanément — gratuit, sans engagement.
Commencer l'évaluation →Par où commencer?
La conformité à la Loi 25 peut sembler imposante, mais elle se décompose en étapes concrètes. Voici un plan d'action suggéré :
- Désignez votre responsable et publiez ses coordonnées (1 jour).
- Réalisez votre inventaire de données personnelles (1-2 semaines).
- Révisez vos formulaires de consentement et vos politiques de confidentialité (1 semaine).
- Créez votre registre d'incidents et votre protocole de notification (1 semaine).
- Formez vos employés (1-2 jours).
- Inventoriez vos fournisseurs et signez les ententes nécessaires (2-4 semaines).
- Adoptez votre politique de conservation avec un calendrier de destruction (1 semaine).
- Réalisez votre première EFVP pour vos systèmes existants (2-4 semaines).
- Documentez tout — la documentation est votre meilleure défense en cas d'audit.
- Réévaluez annuellement — la conformité n'est pas un projet unique, c'est un processus continu.
Erreurs courantes à éviter
- « Nous sommes trop petits pour être visés. » — Faux. La Loi 25 s'applique à toutes les entreprises au Québec, sans seuil minimal.
- « Une politique de confidentialité sur notre site web suffit. » — La politique est nécessaire, mais insuffisante. La Loi 25 exige des actions concrètes : inventaire, EFVP, registre d'incidents, formation.
- « Personne n'applique vraiment cette loi. » — La CAI a des pouvoirs d'enquête et d'imposition de sanctions. De plus, les individus ont un droit privé d'action avec des dommages punitifs minimaux de 1 000 $ par personne.
- « Notre fournisseur est responsable de la conformité. » — Non. Vous restez responsable des renseignements que vous confiez à des tiers. Les ententes de confidentialité sont obligatoires.
- « C'est un projet ponctuel. » — La conformité est un processus continu. Les EFVP doivent être réalisées pour chaque nouveau projet, le registre d'incidents doit être maintenu en permanence, et la formation doit être renouvelée.
Ressources officielles
- Commission d'accès à l'information du Québec (CAI)
- Texte intégral de la Loi sur la protection des renseignements personnels dans le secteur privé
- Page dédiée de la CAI sur la Loi 25
Besoin d'aide pour vous conformer?
Xerxes Systems offre des outils de conformité automatisés pour les professionnels québécois — consentement, registre d'incidents, EFVP, et plus.
Découvrir nos solutions →