effset — Solutions Web & TI intelligentes

Loi 25 au Québec : Tout ce que votre PME doit savoir

Obligations, échéances, sanctions et étapes de conformité expliquées simplement. Plus un diagnostic gratuit pour évaluer où vous en êtes.

C'est quoi la Loi 25?

La Loi 25 (officiellement « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels ») est une loi québécoise adoptée le 22 septembre 2021 qui transforme radicalement la façon dont les entreprises doivent gérer les données personnelles.

En résumé

La Loi 25 oblige les entreprises québécoises à protéger les renseignements personnels qu’elles collectent, à être transparentes sur leur utilisation, et à donner aux citoyens un contrôle accru sur leurs données. C’est l’équivalent québécois du RGPD européen.

Lancer le diagnostic gratuit

Pourquoi cette loi existe ?

Avant la Loi 25, le cadre juridique québécois datait de 1994 — bien avant l’ère des réseaux sociaux, du commerce en ligne et de l’intelligence artificielle. La loi vise à :

  • Protéger les citoyens contre l’utilisation abusive de leurs données
  • Responsabiliser les entreprises sur les informations qu’elles détiennent
  • Aligner le Québec sur les standards internationaux (RGPD, CCPA)
  • Renforcer la confiance dans l’économie numérique

 

Ce qu'on entend par « renseignement personnel »

Un renseignement personnel est toute information qui permet d’identifier directement ou indirectement une personne :

Identité

Nom, prénom, date de naissance, NAS, photo

Coordonnées

Adresse, courriel, téléphone, réseaux sociaux

Finances

Numéro de carte, compte bancaire, revenus

Données sensibles

Santé, biométrie, orientation, opinions politiques

Qui est concerné par la Loi 25?

Réponse courte :

Pratiquement toutes les entreprises au Québec. Si vous avez des clients, des employés ou des fournisseurs dont vous conservez les informations — vous êtes concerné.

 

Sont visés :

  • Les PME de toutes tailles et tous secteurs
  • Les travailleurs autonomes et micro-entreprises
  • Les OBNL et organisations à but non lucratif
  • Les grandes entreprises
  • Les entreprises hors Québec qui font affaire avec des résidents québécois

Exemples concrets

Type d’entreprise Données collectées Concernée?
Boutique en ligne Noms, adresses, historique d’achats Oui
Cabinet comptable Données fiscales, NAS, revenus Oui
Restaurant avec réservations Noms, téléphones, courriels Oui
Consultant indépendant Liste de contacts clients Oui
Gym / Centre sportif Informations membres, paiements Oui

Échéancier complet de la Loi 25

La loi est entrée en vigueur progressivement entre 2022 et 2024. Depuis le 22 septembre 2024, toutes les dispositions s’appliquent.

22 septembre 2022

En vigueur
  • Désigner un responsable de la protection des renseignements personnels
  • Signaler les incidents de confidentialité présentant un risque sérieux à la CAI
  • Aviser les personnes touchées par un incident
  • Nouvelles règles pour communiquer des renseignements sans consentement à des fins de recherche

22 septembre 2023

En vigueur
  • Établir des politiques et pratiques de gouvernance
  • Publier une politique de confidentialité sur votre site web
  • Tenir un registre des incidents de confidentialité (conservation 5 ans)
  • Réaliser des évaluations des facteurs relatifs à la vie privée (ÉFVP)
  • Obtenir un consentement explicite pour les données sensibles
  • Encadrer les décisions automatisées
  • Paramètres de confidentialité au plus haut niveau par défaut
  • Déclarer les banques biométriques 60 jours avant leur mise en service

22 septembre 2024

Complet
  • Droit à la portabilité : fournir les données dans un format structuré (CSV, JSON, XML)
  • Répondre aux demandes d’accès et de rectification en 30 jours maximum
  • Droit à l’effacement (droit à l’oubli) et à la désindexation
  • Consentement parental obligatoire pour les moins de 14 ans

Diagnostic de votre site web gratuit

Sans engagement
2 minutes
Sans inscription
Résultats instantanés
Lancer le diagnostic gratuit

Vos obligations en détail

1

Désigner un responsable

Vous devez nommer une personne responsable de la protection des renseignements personnels. Par défaut, c’est la personne ayant la plus haute autorité dans l’entreprise (PDG, propriétaire), mais vous pouvez déléguer cette fonction.

📋 À faire

  • Nommer officiellement le responsable (par écrit si délégation)
  • Publier son titre et ses coordonnées sur votre site web
  • S’assurer qu’il a les ressources pour exercer ses fonctions
2

Politique de confidentialité

Vous devez publier une politique de confidentialité rédigée en termes simples et clairs sur votre site web (ou la rendre disponible autrement si vous n’avez pas de site).

Contenu obligatoire :

  • Nom de l’entreprise et coordonnées du responsable
  • Types de renseignements collectés et finalités
  • Moyens de collecte utilisés
  • Droits des personnes (accès, rectification, retrait du consentement)
  • Règles de conservation et de destruction des données
  • Rôles et responsabilités du personnel
  • Processus de traitement des plaintes
  • Transferts hors Québec, le cas échéant
3

Consentement

Le consentement doit être :

  • Libre : pas de case pré cochée, pas de consentement forcé
  • Éclairé : la personne comprend à quoi elle consent
  • Spécifique : demandé pour chaque finalité distincte
  • Manifeste : une action claire (le silence n’est pas un consentement)
⚠️ Données sensibles
Pour les données sensibles (santé, biométrie, opinions politiques, orientation sexuelle), le consentement doit être explicite, donné expressément et non déduit.
4

Registre des incidents de confidentialité

Vous devez tenir un registre de tous les incidents de confidentialité, même ceux qui ne présentent pas de risque sérieux.

Qu’est ce qu’un incident :

  • Accès non autorisé à des données (piratage, erreur humaine)
  • Utilisation non autorisée de renseignements
  • Communication non autorisée (envoi au mauvais destinataire)
  • Perte de données (clé USB perdue, disque dur volé)

Le registre doit contenir :

  • Description des renseignements visés
  • Circonstances de l’incident
  • Date de prise de connaissance
  • Nombre de personnes touchées
  • Mesures prises pour réduire les risques
  • Notifications effectuées (CAI, personnes concernées)
🚨 Incident à risque sérieux
Si l’incident présente un risque sérieux de préjudice, vous devez aviser la CAI et les personnes concernées avec diligence. Le registre doit être conservé 5 ans minimum.
5

Évaluation des facteurs relatifs à la vie privée (ÉFVP)

Une ÉFVP est obligatoire avant :

  • Tout projet d’acquisition, développement ou refonte d’un système impliquant des données personnelles
  • Toute communication de données hors Québec
  • Toute communication sans consentement à des fins de recherche ou statistiques
6

Transferts hors Québec

Avant de transférer des données à l’extérieur du Québec (ex : serveurs aux États Unis, sous traitant en Europe), vous devez :

  • Réaliser une ÉFVP
  • Vérifier que le cadre juridique du pays offre une protection adéquate
  • Conclure une entente écrite avec le destinataire

Sanctions et amendes

La Loi 25 prévoit des sanctions parmi les plus sévères au Canada. La CAI peut imposer des sanctions administratives, pénales et des poursuites civiles peuvent aussi s’ajouter.

SAP

Sanctions administratives pécuniaires

Destinataire Montant maximum
Entreprise 10 millions $ ou 2 % du chiffre d’affaires mondial
Infractions graves

Sanctions pénales

Destinataire Montant
Personne physique 5 000 $ à 100 000 $
Entreprise 15 000 $ à 25 millions $ ou 4 % du CA mondial
Récidive Amendes doublées
Recours civil

Dommages-intérêts

Les individus peuvent poursuivre l’entreprise pour atteinte à leur vie privée. Les dommages commencent à 1 000 $ par personne. En cas de recours collectif, les montants peuvent rapidement grimper.

✅ Bonne nouvelle
La CAI adopte d’abord une approche pédagogique. Une entreprise qui démontre sa bonne foi et ses efforts de conformité pourrait voir ses sanctions allégées. L’important est de commencer les démarches.

Infractions courantes sanctionnées

  • Collecter des données sans consentement valide
  • Ne pas signaler un incident de confidentialité
  • Refuser de répondre à une demande d’accès
  • Ne pas avoir de politique de confidentialité
  • Conserver des données plus longtemps que nécessaire
  • Transférer des données hors Québec sans ÉFVP

Droits des individus

La Loi 25 accorde plusieurs droits aux citoyens. Votre entreprise doit être en mesure d’y répondre :

Droit d'accès

Toute personne peut demander à consulter les données que vous détenez sur elle.

Droit de rectification

Corriger des informations inexactes, incomplètes ou équivoques.

Droit à la portabilité

Recevoir ses données dans un format structuré (CSV, JSON, XML) ou les transférer ailleurs.

Droit à l'effacement

Demander la suppression de ses données ou leur désindexation des moteurs de recherche.

Délais de réponse

Vous devez répondre aux demandes dans un délai de 30 jours. Ce délai peut être prolongé avec l’accord de la CAI, mais vous devez en informer le demandeur avant l’expiration du délai initial.

IA et algorithmes

Décisions automatisées

Si vous utilisez des algorithmes ou de l’IA pour prendre des décisions concernant une personne (ex : approbation de crédit, tri de CV), vous devez :

  • Informer la personne que la décision est automatisée
  • Lui permettre de demander une révision humaine
  • Expliquer les principaux facteurs ayant mené à la décision

Obligations pour votre site web

Politique

Politique de confidentialité

  • Doit être facilement accessible (lien en pied de page recommandé)
  • Rédigée en langage clair et simple
  • Doit informer des modifications lorsqu’elles surviennent
Cookies

Bannière de consentement aux témoins (cookies)

La Loi 25 impose un régime opt in pour les cookies non essentiels.

Exigences pour votre bannière
  • Les témoins non essentiels doivent être désactivés par défaut
  • L’utilisateur doit pouvoir choisir quels types de cookies accepter
  • Le bouton « Tout refuser » doit être aussi visible que « Tout accepter »
  • L’utilisateur doit pouvoir modifier ses préférences à tout moment
  • Google Analytics, Facebook Pixel, etc. : consentement requis
Coordonnées

Coordonnées du responsable

Le titre et les coordonnées de votre responsable de la protection des renseignements personnels doivent être publiés sur votre site web.

Formulaires

Formulaires de collecte

  • Informer l’utilisateur de la finalité de la collecte
  • Indiquer si les données seront communiquées à des tiers
  • Obtenir un consentement distinct pour chaque finalité
  • Pas de case pré cochée pour l’infolettre ou le marketing

Pas certain d'être conforme ?

Notre diagnostic gratuit pour votre site web évalue votre situation en quelques minutes et vous indique par où commencer. 

Me contacter
Lancer le diagnostic

Checklist de conformité

Fondamentaux
  • Responsable désigné : une personne est officiellement responsable de la protection des renseignements personnels
  • Coordonnées publiées : le titre et les coordonnées du responsable sont affichés sur votre site web
  • Politique de confidentialité : publiée sur votre site, rédigée en langage clair
  • Inventaire des données : vous savez quelles données vous collectez, pourquoi et où elles sont stockées
Consentement et collecte
  • Consentement explicite : obtenu avant toute collecte de données
  • Bannière cookies : conforme, avec option de refus visible et cookies non essentiels désactivés par défaut
  • Formulaires conformes : finalités expliquées clairement, aucune case pré cochée
  • Données sensibles : consentement explicite pour santé, biométrie et autres données sensibles
Gestion des incidents
  • Registre des incidents : un registre est prêt à être utilisé
  • Procédure de signalement : vous savez comment aviser la CAI et les personnes touchées
  • Plan de réponse : un plan est en place en cas d’incident
Droits des individus
  • Processus d’accès : réponse possible aux demandes d’accès en 30 jours
  • Processus de rectification : correction des renseignements sur demande
  • Portabilité : données fournies en format structuré (CSV, JSON)
Gouvernance
  • Politiques internes : règles documentées pour la collecte, conservation et destruction
  • Formation : l’équipe connaît ses obligations
  • ÉFVP : vous savez quand et comment la réaliser
  • Transferts hors Québec : évalués et encadrés par contrat

Questions fréquentes

Ma PME est-elle vraiment concernée par la Loi 25?

Oui, si vous collectez des renseignements personnels sur vos clients, employés ou fournisseurs — ce qui est le cas de pratiquement toutes les entreprises. Cela inclut les noms, courriels, numéros de téléphone, adresses, informations de paiement, etc. Même un simple fichier Excel avec une liste de contacts vous rend assujetti à la loi.

Je suis travailleur autonome avec quelques clients. Suis-je concerné?

Oui. Dès que vous conservez des informations permettant d'identifier vos clients (nom + courriel par exemple), vous avez des obligations. La bonne nouvelle : pour un travailleur autonome, la mise en conformité est généralement plus simple et moins coûteuse que pour une grande entreprise.

Quelles sont les vraies chances de se faire prendre?

La CAI augmente ses effectifs et ses pouvoirs. Les enquêtes sont souvent déclenchées par des plaintes de citoyens ou des incidents de confidentialité non signalés. Avec la sensibilisation croissante du public à la protection des données, le risque augmente. De plus, vos concurrents conformes pourraient utiliser votre non-conformité comme argument commercial.

Combien ça coûte de se conformer?

Ça dépend de votre situation actuelle et de la complexité de vos traitements de données. Pour une petite PME, les coûts peuvent être minimaux si vous faites une partie du travail vous-même. L'essentiel est de commencer.

Par où commencer?

1) Faites notre diagnostic gratuit pour évaluer votre site web pour commencer. 2) Nommez un responsable et publiez ses coordonnées. 3) Rédigez ou mettez à jour votre politique de confidentialité. 4) Mettez en place une bannière de consentement aux cookies conforme. 5) Créez votre registre des incidents. Ces étapes couvrent les fondamentaux.

J'utilise Google Analytics et Facebook Pixel. Dois-je les retirer?

Non, vous pouvez les garder, mais vous devez obtenir le consentement explicite de l'utilisateur avant qu'ils ne s'activent. Concrètement, cela signifie une bannière de cookies conforme où ces outils sont désactivés par défaut jusqu'à ce que l'utilisateur accepte.

Mes données sont stockées aux États-Unis (AWS, Google Cloud). Est-ce un problème?

Pas nécessairement, mais vous devez réaliser une ÉFVP pour évaluer si le cadre juridique américain offre une protection adéquate. Vous devez également avoir une entente écrite avec votre fournisseur concernant la protection des données. La plupart des grands fournisseurs cloud offrent des clauses contractuelles conformes.

Un client me demande ses données. Que dois-je faire?

Vous devez répondre dans un délai de 30 jours. Vérifiez d'abord l'identité du demandeur. Ensuite, rassemblez toutes les données que vous détenez sur cette personne et fournissez-les dans un format compréhensible. Si la demande est pour la portabilité, utilisez un format structuré comme CSV ou JSON.

Qu'est-ce qu'un « incident de confidentialité »?

C'est tout accès, utilisation, communication ou perte non autorisé de renseignements personnels. Exemples : courriel envoyé au mauvais destinataire, ordinateur portable volé, piratage informatique, employé qui consulte des dossiers sans autorisation. Même les incidents mineurs doivent être consignés dans votre registre.

Comment Effset peut m'aider?

On vous accompagne étape par étape, sans jargon. Notre approche :

1) Diagnostic gratuit pour évaluer votre situation de votre site,

2) Plan d'action personnalisé selon vos priorités,

3) Accompagnement dans la mise en conformité,

4) Suivi continu pour rester conforme. L'accompagnement Loi 25 est inclus dans nos forfaits Professional et Complete, ou disponible à la carte.

Vous avez des questions? Contactez-moi

Ressources officielles