Loi 25 Québec pour les PME : ce que vous devez faire en 2026
La Loi 25 — officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — est pleinement en vigueur depuis septembre 2023. En 2026, les entreprises québécoises n'ont plus d'excuse : la conformité est obligatoire, les amendes sont réelles, et la Commission d'accès à l'information (CAI) intensifie ses contrôles. Si vous dirigez une PME au Québec et que vous n'avez pas encore agi, voici ce que vous devez savoir — et faire — maintenant.
Qu'est-ce que la Loi 25 ?
La Loi 25 est la réforme la plus importante du droit à la vie privée au Québec depuis 30 ans. Elle s'inspire du RGPD européen et donne aux Québécois des droits renforcés sur leurs données personnelles : droit d'accès, droit de correction, droit à la désindexation, droit à la portabilité.
Pour les entreprises, elle impose des obligations concrètes : nommer un responsable de la protection des données, documenter les informations collectées, signaler les incidents de sécurité, et obtenir un consentement explicite avant de collecter des données sensibles.
Important : La Loi 25 s'applique à toutes les entreprises qui collectent des renseignements personnels sur des résidents du Québec — peu importe la taille de l'entreprise ou son siège social. Un micro-entrepreneur avec une liste de clients courriel est assujetti.
Qui est concerné ?
Pratiquement toutes les PME québécoises sont concernées, car presque toutes collectent des renseignements personnels : noms, adresses courriel, numéros de téléphone, adresses de livraison, historiques d'achat, données de navigation.
Vous êtes particulièrement à risque si vous :
- Gérez une liste de clients ou d'abonnés courriel
- Utilisez un CRM ou un logiciel de facturation
- Collectez des données via un formulaire web
- Traitez des paiements en ligne
- Avez accès aux données personnelles de vos employés
- Utilisez des outils d'analyse web (Google Analytics, etc.)
Les 4 obligations principales de la Loi 25
1. Nommer un responsable de la protection des données
La loi exige que chaque entreprise désigne formellement un responsable de la protection des renseignements personnels. Par défaut, c'est la personne ayant la plus haute autorité dans l'organisation (propriétaire, PDG). Ce rôle peut être délégué à un employé ou externalisé.
Les coordonnées du responsable doivent être publiées sur votre site web — nom ou titre, courriel ou numéro de téléphone. C'est une exigence vérifiable publiquement par la CAI.
2. Inventorier les données personnelles collectées
Vous devez savoir exactement quelles données vous collectez, pourquoi, pendant combien de temps vous les conservez, et avec qui vous les partagez. Cet inventaire — appelé registre des renseignements personnels — doit être documenté par écrit et mis à jour régulièrement.
La plupart des PME découvrent lors de cet exercice qu'elles collectent plus de données qu'elles ne le croyaient, et qu'une partie de ces données n'est plus nécessaire.
3. Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP)
Avant tout nouveau projet impliquant des données personnelles — nouveau logiciel, nouvelle fonctionnalité sur votre site, nouveau partenariat — vous devez évaluer l'impact sur la vie privée. Cette évaluation documente les risques identifiés et les mesures prises pour les atténuer.
L'ÉFVP s'applique aussi quand vous confiez des données à un tiers (ex. : un fournisseur de services infonuagiques, une agence marketing). Un contrat de traitement des données est requis.
4. Gérer et signaler les incidents de confidentialité
Si vos données sont compromises — vol, accès non autorisé, fuite, perte d'un appareil contenant des données — vous devez :
- Documenter l'incident dans un registre
- Évaluer si l'incident présente un risque sérieux de préjudice
- Signaler l'incident à la CAI si le risque est confirmé
- Aviser les personnes concernées
Le délai de signalement à la CAI est de 72 heures après avoir pris connaissance de l'incident. Ce délai est strict.
Les amendes : jusqu'à 25 millions de dollars
La Loi 25 prévoit deux types de sanctions :
Sanctions administratives pécuniaires : La CAI peut imposer des sanctions allant jusqu'à 10 millions $ ou 2% du chiffre d'affaires mondial pour les infractions de moindre gravité. Pour les infractions graves ou répétées : jusqu'à 25 millions $ ou 4% du chiffre d'affaires mondial.
Sanctions pénales : En cas de poursuites pénales, les amendes peuvent atteindre 25 millions $ pour les personnes morales, et 100 000 $ pour les individus.
À retenir : La CAI a déjà émis ses premières décisions. Les entreprises qui ont ignoré la loi après les délais de mise en conformité sont les premières ciblées. L'ignorance de la loi n'est pas une défense recevable.
Check-list Loi 25 : 10 actions à faire maintenant
| Action | Statut |
|---|---|
| Nommer un responsable de la protection des données | Obligatoire |
| Publier les coordonnées du responsable sur votre site web | Obligatoire |
| Dresser l'inventaire des données personnelles collectées | Obligatoire |
| Réviser et mettre à jour votre politique de confidentialité | Obligatoire |
| Mettre en place un registre des incidents de confidentialité | Obligatoire |
| Ajouter un formulaire de demande d'accès ou de correction des données | Obligatoire |
| Revoir les contrats avec vos fournisseurs qui traitent des données personnelles | Recommandé |
| Mettre en place le chiffrement des données sensibles | Recommandé |
| Former vos employés aux bonnes pratiques de protection des données | Recommandé |
| Planifier une ÉFVP pour tout nouveau projet impliquant des données | Obligatoire (nouveaux projets) |
Comment Informatique Ste-Foy peut vous aider
La conformité Loi 25 n'est pas qu'un exercice juridique — c'est aussi un exercice de cybersécurité. Les failles techniques (données non chiffrées, accès non contrôlés, mots de passe faibles) sont souvent à l'origine des incidents de confidentialité.
Notre équipe intervient sur les volets techniques de la conformité :
- Audit de cybersécurité : Identification des données sensibles mal protégées, des accès non contrôlés, des vulnérabilités réseau
- Chiffrement des données : Mise en place du chiffrement sur les postes de travail (FileVault pour Mac, BitLocker pour Windows) et les serveurs
- Gestion des accès : Politique de mots de passe, authentification à deux facteurs, gestion des droits utilisateurs
- Plan de réponse aux incidents : Procédures documentées pour détecter, contenir et signaler un incident en 72 heures
Questions fréquentes
La Loi 25 s'applique-t-elle aux petites entreprises ?
Oui. La Loi 25 s'applique à toutes les entreprises qui collectent des renseignements personnels au Québec, quelle que soit leur taille. Un commerce avec 3 employés qui recueille des noms et adresses courriel de clients est assujetti.
Quelles sont les amendes prévues par la Loi 25 ?
Les amendes administratives peuvent atteindre 25 millions de dollars ou 4% du chiffre d'affaires mondial, selon le montant le plus élevé. Des sanctions pénales s'ajoutent pour les infractions graves.
Qui doit être nommé responsable de la protection des données ?
Par défaut, la personne ayant la plus haute autorité dans l'entreprise. Ce rôle peut être délégué à un employé ou à un consultant externe. Les coordonnées du responsable doivent être publiées sur votre site web.
Qu'est-ce qu'un incident de confidentialité selon la Loi 25 ?
Tout accès, utilisation ou communication non autorisé d'un renseignement personnel, ainsi que toute perte ou vol de données. Si l'incident présente un risque sérieux de préjudice, vous devez le signaler à la CAI dans les 72 heures et aviser les personnes concernées.
Comment Informatique Ste-Foy peut-il aider pour la conformité Loi 25 ?
Notre équipe réalise des audits de sécurité informatique, met en place le chiffrement des données sensibles, aide à rédiger la politique de confidentialité et les procédures de gestion des incidents. Appelez le 418-255-8998 pour une consultation.
Lire aussi
- Sécurité Mac en télétravail : checklist complète 2026
- Gérer son Mac à distance en 2026 : comparatif sécurisé
- Virus Mac : 7 signes que votre Mac est infecté
- Apple Store vs réparateur indépendant Québec : lequel choisir ?
- Récupération de données sur disque dur : guide complet
Votre PME est-elle conforme à la Loi 25 ?
Un audit de cybersécurité vous permet d'identifier vos lacunes et de les corriger avant une inspection de la CAI. Consultation offerte pour les PME de la région de Québec.
Planifier une consultation — 418-255-8998