La Loi 25 est désormais pleinement en vigueur au Québec. Pourtant, selon la Commission d'accès à l'information (CAI), une majorité de PME québécoises n'est toujours pas en conformité complète en 2026 — exposant leurs dirigeants à des pénalités pouvant atteindre 25 millions de dollars. Ce guide vous explique ce que votre entreprise doit faire, maintenant, pour éviter ces risques.
Qu'est-ce que la Loi 25 ?
Important — Loi en vigueur depuis septembre 2023
La Loi 25 est pleinement applicable depuis le 22 septembre 2023. Il ne s'agit pas d'une loi à venir : les obligations s'appliquent dès maintenant à votre entreprise, quelle que soit sa taille.
La Loi 25, dont le nom officiel est la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (LMRPRP, anciennement Projet de loi 64), a été adoptée par l'Assemblée nationale du Québec en septembre 2021. Elle modernise la Loi sur la protection des renseignements personnels dans le secteur privé (Loi P-39.1) ainsi que la Loi sur l'accès aux documents des organismes publics.
Souvent présentée comme le RGPD québécois, la Loi 25 s'inspire directement du Règlement Général sur la Protection des Données européen tout en allant parfois plus loin dans certaines obligations. Son objectif : donner aux citoyens québécois un contrôle réel sur leurs données personnelles et obliger les organisations qui les collectent à les protéger sérieusement.
Concrètement, la loi encadre toute forme de collecte, utilisation, conservation, communication ou destruction de renseignements personnels. Un renseignement personnel, au sens de la loi, est toute information qui permet d'identifier directement ou indirectement une personne physique : nom, adresse, courriel, numéro de téléphone, adresse IP, données de géolocalisation, informations financières, données de santé, etc.
Qui est concerné par la Loi 25 au Québec ?
La Loi 25 s'applique à toute entreprise ou organisation qui collecte des renseignements personnels sur des résidents du Québec, qu'elle soit établie au Québec, au Canada ou à l'étranger. Les secteurs concernés incluent — sans s'y limiter :
- Commerces de détail et boutiques en ligne (listes clients, paniers d'achat, adresses de livraison)
- Cliniques médicales, dentaires, chiropratiques et tout professionnel de la santé
- Cabinets comptables, notaires, avocats, courtiers immobiliers
- Agences de marketing, studios de design et agences web
- Restaurants et services de livraison (données de commande)
- Entreprises de services TI — y compris IT Cares, en tant que sous-traitant
- Associations, OBNL, organismes communautaires
Aucun seuil minimum de taille
Contrairement à une idée reçue, il n'existe aucun seuil minimum d'employés ou de chiffre d'affaires. Une entreprise unipersonnelle qui gère une liste de 50 clients par courriel est soumise à la Loi 25 au même titre qu'une grande corporation.
Besoin d'aide ? Évitez les essais-erreurs.
Notre technicien certifié bilingue se connecte à distance, lit les journaux système et résout le problème sur place — même journée, dès 119,99 $. Aucun frais si non résolu.
Les 3 phases d'application de la Loi 25
La Loi 25 a été mise en œuvre progressivement sur trois ans, avec des obligations de plus en plus exigeantes à chaque phase :
Phase 1 — Septembre 2022
La première phase a introduit les obligations fondamentales de gouvernance :
- Désignation d'un responsable de la protection des renseignements personnels (RPRP) au sein de l'organisation
- Publication du nom et des coordonnées du RPRP sur le site web de l'entreprise
- Mise en place d'une politique de confidentialité accessible au public, rédigée en langage clair
- Obligation de notification à la CAI en cas d'incident de confidentialité présentant un risque sérieux de préjudice
Phase 2 — Septembre 2023
La deuxième phase, la plus exigeante, est entrée en vigueur le 22 septembre 2023 :
- Évaluation des facteurs relatifs à la vie privée (EFVP) obligatoire avant tout projet impliquant des renseignements personnels (nouveau système informatique, application, partenariat)
- Obligations étendues de notification des incidents : avertir la CAI et les personnes concernées dans les meilleurs délais lorsqu'un incident présente un risque sérieux de préjudice
- Registre des incidents de confidentialité à tenir à jour
- Règles renforcées pour la communication de renseignements à des tiers, notamment à des fournisseurs TI étrangers
- Consentement distinct et explicite requis pour certaines utilisations des données, notamment à des fins commerciales secondaires
Phase 3 — Septembre 2024
La troisième phase a complété le cadre en renforçant les droits individuels :
- Droit à la portabilité des données : les individus peuvent demander que leurs données soient transmises à une autre organisation dans un format technologique structuré et couramment utilisé
- Droit à la désindexation (droit à l'oubli) pour certaines informations accessibles publiquement en ligne
- Droits renforcés pour les décisions automatisées basées sur des profils de personnes
5 obligations concrètes pour votre PME — Ce qu'il faut faire maintenant
Désigner un responsable de la protection des renseignements personnels (RPRP)
Toute organisation doit désigner une personne responsable de la conformité Loi 25. Cette personne — souvent le dirigeant dans une PME — supervise les pratiques de gestion des données, traite les demandes d'accès des clients, et gère les incidents. Son titre et ses coordonnées doivent être publiés sur votre site web. C'est une obligation simple à remplir mais souvent négligée.
Inventorier les renseignements personnels collectés par votre entreprise
Vous ne pouvez pas protéger ce que vous ne connaissez pas. Réalisez un inventaire complet de toutes les données personnelles que votre entreprise collecte : formulaires de contact, listes d'envoi, fichiers clients, données de commande, fichiers RH, caméras de surveillance, etc. Documentez où ces données sont stockées, qui y a accès et combien de temps vous les conservez.
Mettre à jour votre politique de confidentialité
Votre politique de confidentialité doit être rédigée en langage simple et accessible, préciser exactement quels renseignements vous collectez, pourquoi, avec qui vous les partagez, et comment les clients peuvent exercer leurs droits (accès, correction, retrait du consentement, suppression). Elle doit être facilement accessible depuis votre site web, idéalement dans le pied de page.
Implémenter des mesures de sécurité techniques adaptées
La Loi 25 exige des mesures de sécurité proportionnelles à la sensibilité des données détenues. Concrètement pour une PME : chiffrement des données au repos et en transit, authentification multifacteur (MFA) sur tous les comptes, contrôle des accès (principe du moindre privilège), sauvegardes chiffrées régulières, mises à jour de sécurité appliquées sans délai, et politique de destruction sécurisée des données en fin de vie.
Mettre en place une procédure de notification d'incidents
En cas de brèche de sécurité ou d'incident de confidentialité, la Loi 25 impose d'aviser la Commission d'accès à l'information (CAI) et les personnes concernées dans les meilleurs délais dès que l'incident présente un risque sérieux de préjudice. Vous devez tenir un registre de tous les incidents, même ceux qui ne présentent pas de risque. Sans procédure documentée, votre entreprise est en violation automatique dès le premier incident.
Vous préférez qu'on s'en occupe ? Laissez votre courriel — un technicien vous répond vite.
Dépannage à distance, le jour même, à partir de 119,99 $. Pas de réparation, pas de frais.
IT Cares accompagne votre PME vers la conformité Loi 25
Audit TI, chiffrement des données, MFA, sauvegardes conformes — nous gérons le volet technologique pour vous. Concentrez-vous sur votre cœur de métier.
Les pénalités en cas de non-conformité à la Loi 25
Sanctions parmi les plus sévères au Canada
Les pénalités prévues par la Loi 25 sont parmi les plus importantes au Canada. Ne sous-estimez pas ces risques : la CAI dispose de pouvoirs d'enquête étendus et peut agir de sa propre initiative.
La Loi 25 prévoit deux niveaux de sanctions :
Sanctions administratives (imposées par la CAI)
La Commission d'accès à l'information peut imposer des sanctions administratives pécuniaires pouvant atteindre :
- 10 millions de dollars ou 2% des revenus mondiaux de l'exercice précédent, selon le montant le plus élevé
Ces sanctions s'appliquent pour des manquements tels que l'absence de politique de confidentialité, le défaut de notification d'un incident, ou le non-respect des droits des individus.
Infractions pénales
Pour les violations les plus graves, notamment lorsqu'un dirigeant agit de manière délibérée ou négligente, les amendes pénales peuvent atteindre :
- 25 millions de dollars ou 4% des revenus mondiaux, selon le montant le plus élevé
Des poursuites pénales peuvent être intentées contre les personnes physiques (dirigeants, cadres) et pas uniquement contre la société elle-même.
Au-delà des sanctions financières, un incident mal géré entraîne des risques de réputation dommageables, de perte de clients, et potentiellement de poursuites civiles de la part des personnes dont les données ont été compromises.
Ce que votre fournisseur TI doit faire pour vous aider à vous conformer
La Loi 25 fait de votre fournisseur de services informatiques un acteur clé de votre conformité. En tant que sous-traitant TI, IT Cares a des obligations légales envers vous et doit vous aider à mettre en place les mesures techniques requises. Voici ce qu'un fournisseur TI responsable doit faire pour votre PME :
- Chiffrement des données au repos et en transit : vos fichiers clients, données comptables et courriels doivent être chiffrés sur les serveurs et lors de leur transmission.
- Authentification multifacteur (MFA) sur tous les comptes : Microsoft 365, Google Workspace, accès à distance — aucun compte professionnel ne devrait être accessible avec un simple mot de passe.
- Sauvegardes chiffrées hors site : en cas de ransomware ou de sinistre, vos données doivent être récupérables depuis un emplacement séparé et sécurisé. La sauvegarde 3-2-1 est la norme minimale.
- Politique de destruction sécurisée des données : les anciens disques durs, ordinateurs et supports de stockage contenant des données personnelles doivent être effacés de manière certifiée ou physiquement détruits avant toute disposition.
- Contrat de traitement des données : la Loi 25 impose la signature d'un accord formel avec tout sous-traitant TI qui accède à des renseignements personnels. IT Cares peut vous fournir ce contrat.
- Journalisation et surveillance des accès : tenir un journal des accès aux systèmes sensibles pour détecter les comportements anormaux et documenter les événements de sécurité.
Checklist de conformité Loi 25 pour PME
Utilisez ce tableau pour évaluer rapidement votre niveau de conformité actuel :
| Obligation | Statut | Responsable |
|---|---|---|
| Désigner un RPRP et publier ses coordonnées | À faire | Direction |
| Inventaire des données personnelles collectées | À faire | Direction + IT |
| Politique de confidentialité mise à jour | À faire | Direction + Légal |
| MFA activé sur tous les comptes professionnels | À faire | IT Cares |
| Chiffrement des données au repos et en transit | À faire | IT Cares |
| Sauvegardes chiffrées hors site testées | À faire | IT Cares |
| Procédure de notification d'incidents documentée | À faire | Direction |
| Registre des incidents de confidentialité | À faire | RPRP |
| Contrat de traitement avec fournisseurs TI | À faire | Direction + IT Cares |
| Formation des employés sur la protection des données | À faire | RH + IT |
Questions fréquentes — Loi 25 et PME québécoises
La Loi 25 s'applique-t-elle aux petites entreprises québécoises ?
Oui. La Loi 25 s'applique à toute organisation qui collecte, utilise ou communique des renseignements personnels de résidents du Québec, quelle que soit sa taille. Une entreprise unipersonnelle ou une TPE de 2-3 personnes est soumise aux mêmes obligations qu'une grande entreprise. Il n'existe aucun seuil minimum de taille, d'employés ou de revenus.
Quelles sont les pénalités pour non-conformité à la Loi 25 ?
Les sanctions administratives peuvent atteindre 10 millions de dollars ou 2% des revenus mondiaux, selon le montant le plus élevé. Les pénalités pénales, pour les violations intentionnelles, peuvent monter jusqu'à 25 millions de dollars ou 4% des revenus mondiaux. La Commission d'accès à l'information (CAI) du Québec est l'organisme d'application.
Mon entreprise est-elle conforme si elle utilise Microsoft 365 ?
Pas automatiquement. L'utilisation de Microsoft 365 peut vous aider, mais plusieurs configurations sont nécessaires : activation du MFA sur tous les comptes, politiques de rétention des données, restriction du partage externe, vérification des paramètres de localisation des données (certains plans stockent des données hors Canada par défaut). Un audit de votre configuration par un technicien est recommandé.
Qu'est-ce qu'un responsable de la protection des renseignements personnels (RPRP) ?
Le RPRP est la personne désignée formellement au sein de votre organisation pour superviser la conformité à la Loi 25. Il traite les demandes d'accès aux données, gère les incidents de confidentialité, et s'assure que les politiques sont à jour. Dans une PME, c'est souvent le dirigeant. Son nom et ses coordonnées doivent être publiés sur votre site web — c'est une obligation depuis septembre 2022.
IT Cares peut-il aider notre PME à se conformer à la Loi 25 ?
Oui. IT Cares accompagne les PME québécoises sur le volet technologique de la conformité Loi 25 : audit de l'infrastructure, chiffrement des données, implémentation du MFA, sauvegardes conformes, politique de destruction sécurisée, et signature d'un contrat de traitement des données en tant que sous-traitant TI. Appelez le 1 (888) 711-9428 pour un premier audit gratuit.
Obtenez un audit Loi 25 gratuit pour votre PME
Notre technicien certifié évalue votre infrastructure actuelle, identifie les lacunes et vous propose un plan d'action concret. Audit sans engagement, réponse en 24h.
