La Loi 25, entrée en vigueur par étapes entre septembre 2022 et septembre 2024, est maintenant pleinement en application. Officiellement nommée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, elle impose à toute entreprise qui recueille, conserve ou utilise des renseignements personnels au Québec de respecter un ensemble d'obligations précises.
Malgré cela, beaucoup de PME québécoises n'ont pas encore complété leur mise en conformité. Certaines ne savent pas par où commencer. D'autres croient, à tort, que la loi ne les concerne pas parce qu'elles sont « trop petites ».
Ce guide traduit les exigences de la Loi 25 en gestes concrets et réalistes pour une PME.
Qui est visé par la Loi 25?
Toute entreprise qui exploite une activité au Québec et qui détient des renseignements personnels est assujettie. Il n'y a pas de seuil minimum en nombre d'employés ou en chiffre d'affaires. Si vous avez des clients, des employés ou des fournisseurs dont vous conservez le nom, le courriel, le numéro de téléphone ou toute autre information permettant d'identifier une personne, la Loi 25 s'applique à vous.
Les renseignements personnels, c'est plus large qu'on ne le pense. Au-delà des évidences (nom, adresse, NAS), cela inclut l'adresse courriel, le numéro de téléphone, une adresse IP, des données de géolocalisation, des préférences d'achat, des notes dans un dossier d'employé.
Les six obligations fondamentales
1. Nommer un responsable de la protection des renseignements personnels
La loi exige que chaque entreprise désigne un responsable de la protection des renseignements personnels (RPRP). Par défaut, ce rôle revient à la personne qui exerce la plus haute autorité dans l'entreprise — souvent le propriétaire ou le directeur général.
Vous pouvez déléguer cette fonction à un autre membre de l'équipe par écrit. Quoi qu'il en soit, le titre et les coordonnées du RPRP doivent être accessibles publiquement, idéalement sur votre site web.
Ce que ça implique concrètement : ajoutez une mention « Responsable de la protection des renseignements personnels » avec un nom et un courriel de contact dans votre politique de confidentialité ou sur une page dédiée de votre site.
2. Tenir un registre des incidents de confidentialité
Tout événement impliquant un accès non autorisé, une perte ou une communication non autorisée de renseignements personnels doit être consigné dans un registre. Ce registre doit être conservé pendant au moins cinq ans.
Un incident de confidentialité, ce n'est pas nécessairement un piratage spectaculaire. C'est aussi un courriel contenant des données de clients envoyé au mauvais destinataire. Un dossier d'employé laissé ouvert sur un bureau accessible au public. Une clé USB perdue contenant des fichiers de paie.
Si l'incident présente un risque sérieux de préjudice pour les personnes concernées, vous devez aviser la Commission d'accès à l'information du Québec (CAI) et les personnes touchées dans les meilleurs délais.
3. Réaliser des évaluations des facteurs relatifs à la vie privée (ÉFVP)
Avant de lancer un nouveau projet qui implique la collecte ou l'utilisation de renseignements personnels — nouveau site web avec formulaire, nouveau logiciel RH, nouveau CRM, nouveau fournisseur de services infonuagiques — vous devez effectuer une ÉFVP.
Cette évaluation n'a pas besoin d'être un document de 50 pages. Pour une PME, un formulaire structuré d'une à deux pages qui identifie les données collectées, les risques potentiels et les mesures d'atténuation est suffisant.
L'ÉFVP est aussi obligatoire avant de transmettre des renseignements personnels à l'extérieur du Québec — ce qui inclut l'utilisation de services infonuagiques hébergés aux États-Unis ou ailleurs.
4. Obtenir un consentement valide
Le consentement à la collecte de renseignements personnels doit être manifeste, libre, éclairé et donné pour des fins spécifiques. La personne doit comprendre ce que vous collectez, pourquoi, et ce que vous en faites.
Pour les renseignements sensibles — données de santé, données financières, données biométriques — le consentement doit être explicite (pas présumé).
En pratique : révisez vos formulaires en ligne et hors ligne. Éliminez les cases pré-cochées. Assurez-vous que les textes de consentement sont rédigés en langage clair, pas en jargon juridique.
5. Respecter le droit à la portabilité
Toute personne peut demander que vous lui transmettiez ses renseignements personnels dans un format technologique structuré et couramment utilisé (CSV, JSON, XML). Elle peut aussi demander que ces renseignements soient transmis directement à un autre organisme.
Pour une PME, cela signifie que vos systèmes doivent être capables d'exporter les données personnelles d'un client ou d'un employé dans un format standard. Si vos données sont enfermées dans un logiciel sans option d'exportation, c'est un problème de conformité.
6. Publier une politique de confidentialité
Votre politique de confidentialité doit être rédigée en termes simples et accessibles. Elle doit décrire les types de renseignements collectés, les fins de la collecte, les moyens utilisés, les droits des personnes, et les coordonnées du RPRP.
Cette politique doit être facilement accessible — sur votre site web, dans votre lieu d'affaires, ou les deux.
Le volet technique de la conformité
La Loi 25 ne prescrit pas de technologies spécifiques, mais elle exige des « mesures de sécurité raisonnables ». Voici ce que cela signifie concrètement pour votre infrastructure TI.
Chiffrement des données
Les renseignements personnels stockés sur vos serveurs, postes de travail, ordinateurs portables et sauvegardes devraient être chiffrés. Sous Windows, BitLocker est intégré au système d'exploitation. Sous macOS, FileVault fait le travail. Pour les sauvegardes, la plupart des solutions d'entreprise offrent le chiffrement en option — assurez-vous qu'il est activé.
Les données en transit — courriels contenant des renseignements personnels, formulaires sur votre site web — doivent aussi être protégées. HTTPS sur votre site web et TLS pour vos courriels sont les minimums.
Contrôle des accès
Qui dans votre entreprise a accès à quoi? Le principe du moindre privilège veut que chaque employé n'ait accès qu'aux données nécessaires à son travail. Le commis à l'expédition n'a pas besoin de voir les dossiers RH. Le vendeur n'a pas besoin d'accéder aux données comptables.
L'authentification multifacteur devrait être activée sur tout système qui contient des renseignements personnels. C'est la mesure technique qui offre le meilleur ratio effort/protection.
Journalisation
Vous devez être en mesure de savoir qui a accédé à quelles données et quand. Activez les journaux d'audit sur vos serveurs de fichiers, votre environnement Microsoft 365 ou Google Workspace, et vos applications métier. Conservez ces journaux pendant au moins un an.
Destruction sécurisée
Quand des renseignements personnels ne sont plus nécessaires aux fins pour lesquelles ils ont été collectés, ils doivent être détruits ou anonymisés. Cela inclut les copies papier (déchiquetage), les fichiers numériques (suppression sécurisée), et les appareils en fin de vie (effacement certifié des disques durs).
Les sanctions
La CAI dispose de pouvoirs de sanction significatifs. Les amendes administratives peuvent atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial. Les sanctions pénales — pour les infractions les plus graves — peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial.
Dans la pratique, les premières sanctions imposées par la CAI depuis l'entrée en vigueur des dispositions pénales ont visé des cas de négligence manifeste. Une PME qui démontre des efforts raisonnables de conformité — même imparfaits — sera traitée différemment d'une entreprise qui n'a rien fait du tout.
Les erreurs fréquentes
Penser que ça ne concerne que le site web. Votre politique de confidentialité en ligne est un début, mais la Loi 25 couvre tous les canaux de collecte : formulaires papier, courriels, appels téléphoniques, rencontres en personne.
Ignorer les fournisseurs. Si vous confiez des renseignements personnels à un fournisseur — service de paie, plateforme de courriel marketing, hébergeur web — vous devez vous assurer contractuellement qu'il respecte des normes de protection adéquates.
Confondre conformité et projet ponctuel. La conformité à la Loi 25 n'est pas une case à cocher une fois. C'est un processus continu qui doit être intégré dans vos opérations courantes : révision annuelle des politiques, formation des nouveaux employés, mise à jour des ÉFVP quand vos systèmes changent.
Sous-estimer la portée des « renseignements personnels ». Une adresse courriel professionnelle est un renseignement personnel. Un numéro de téléphone cellulaire d'un client est un renseignement personnel. Une photo d'employé sur votre site web est un renseignement personnel.
La conformité comme signal de confiance
Au-delà de l'obligation légale, la conformité à la Loi 25 est un signal que vous prenez la confiance de vos clients au sérieux. Dans un contexte où les fuites de données font régulièrement la manchette, une PME qui peut démontrer des pratiques responsables de gestion des données se démarque positivement auprès de ses clients et partenaires d'affaires.
Adsum Technologies et la Loi 25
La conformité à la Loi 25 se situe à l'intersection du droit, des processus d'affaires et de la technologie. Adsum Technologies accompagne les PME québécoises sur le volet technique : audit de l'infrastructure, mise en place du chiffrement et des contrôles d'accès, configuration de la journalisation, et accompagnement continu pour maintenir la conformité à mesure que vos systèmes évoluent.
Pour savoir où en est votre entreprise, contactez-nous pour un diagnostic.



