Loi 25 au Québec : Guide Pratique pour PME en 2026

Loi 25 conformité PME Montréal — IT Cares

La Loi 25 est désormais pleinement en vigueur au Québec. Pourtant, selon la Commission d'accès à l'information (CAI), une majorité de PME québécoises n'est toujours pas en conformité complète en 2026 — exposant leurs dirigeants à des pénalités pouvant atteindre 25 millions de dollars. Ce guide vous explique ce que votre entreprise doit faire, maintenant, pour éviter ces risques.

Qu'est-ce que la Loi 25 ?

Important — Loi en vigueur depuis septembre 2023

La Loi 25 est pleinement applicable depuis le 22 septembre 2023. Il ne s'agit pas d'une loi à venir : les obligations s'appliquent dès maintenant à votre entreprise, quelle que soit sa taille.

La Loi 25, dont le nom officiel est la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (LMRPRP, anciennement Projet de loi 64), a été adoptée par l'Assemblée nationale du Québec en septembre 2021. Elle modernise la Loi sur la protection des renseignements personnels dans le secteur privé (Loi P-39.1) ainsi que la Loi sur l'accès aux documents des organismes publics.

Souvent présentée comme le RGPD québécois, la Loi 25 s'inspire directement du Règlement Général sur la Protection des Données européen tout en allant parfois plus loin dans certaines obligations. Son objectif : donner aux citoyens québécois un contrôle réel sur leurs données personnelles et obliger les organisations qui les collectent à les protéger sérieusement.

Concrètement, la loi encadre toute forme de collecte, utilisation, conservation, communication ou destruction de renseignements personnels. Un renseignement personnel, au sens de la loi, est toute information qui permet d'identifier directement ou indirectement une personne physique : nom, adresse, courriel, numéro de téléphone, adresse IP, données de géolocalisation, informations financières, données de santé, etc.

Qui est concerné par la Loi 25 au Québec ?

La Loi 25 s'applique à toute entreprise ou organisation qui collecte des renseignements personnels sur des résidents du Québec, qu'elle soit établie au Québec, au Canada ou à l'étranger. Les secteurs concernés incluent — sans s'y limiter :

Aucun seuil minimum de taille

Contrairement à une idée reçue, il n'existe aucun seuil minimum d'employés ou de chiffre d'affaires. Une entreprise unipersonnelle qui gère une liste de 50 clients par courriel est soumise à la Loi 25 au même titre qu'une grande corporation.

Besoin d'aide ? Évitez les essais-erreurs.

Notre technicien certifié bilingue se connecte à distance, lit les journaux système et résout le problème sur place — même journée, dès 119,99 $. Aucun frais si non résolu.

Les 3 phases d'application de la Loi 25

La Loi 25 a été mise en œuvre progressivement sur trois ans, avec des obligations de plus en plus exigeantes à chaque phase :

Phase 1 — Septembre 2022

La première phase a introduit les obligations fondamentales de gouvernance :

Phase 2 — Septembre 2023

La deuxième phase, la plus exigeante, est entrée en vigueur le 22 septembre 2023 :

Phase 3 — Septembre 2024

La troisième phase a complété le cadre en renforçant les droits individuels :

5 obligations concrètes pour votre PME — Ce qu'il faut faire maintenant

1

Désigner un responsable de la protection des renseignements personnels (RPRP)

Toute organisation doit désigner une personne responsable de la conformité Loi 25. Cette personne — souvent le dirigeant dans une PME — supervise les pratiques de gestion des données, traite les demandes d'accès des clients, et gère les incidents. Son titre et ses coordonnées doivent être publiés sur votre site web. C'est une obligation simple à remplir mais souvent négligée.

2

Inventorier les renseignements personnels collectés par votre entreprise

Vous ne pouvez pas protéger ce que vous ne connaissez pas. Réalisez un inventaire complet de toutes les données personnelles que votre entreprise collecte : formulaires de contact, listes d'envoi, fichiers clients, données de commande, fichiers RH, caméras de surveillance, etc. Documentez où ces données sont stockées, qui y a accès et combien de temps vous les conservez.

3

Mettre à jour votre politique de confidentialité

Votre politique de confidentialité doit être rédigée en langage simple et accessible, préciser exactement quels renseignements vous collectez, pourquoi, avec qui vous les partagez, et comment les clients peuvent exercer leurs droits (accès, correction, retrait du consentement, suppression). Elle doit être facilement accessible depuis votre site web, idéalement dans le pied de page.

4

Implémenter des mesures de sécurité techniques adaptées

La Loi 25 exige des mesures de sécurité proportionnelles à la sensibilité des données détenues. Concrètement pour une PME : chiffrement des données au repos et en transit, authentification multifacteur (MFA) sur tous les comptes, contrôle des accès (principe du moindre privilège), sauvegardes chiffrées régulières, mises à jour de sécurité appliquées sans délai, et politique de destruction sécurisée des données en fin de vie.

5

Mettre en place une procédure de notification d'incidents

En cas de brèche de sécurité ou d'incident de confidentialité, la Loi 25 impose d'aviser la Commission d'accès à l'information (CAI) et les personnes concernées dans les meilleurs délais dès que l'incident présente un risque sérieux de préjudice. Vous devez tenir un registre de tous les incidents, même ceux qui ne présentent pas de risque. Sans procédure documentée, votre entreprise est en violation automatique dès le premier incident.

Vous préférez qu'on s'en occupe ? Laissez votre courriel — un technicien vous répond vite.

Dépannage à distance, le jour même, à partir de 119,99 $. Pas de réparation, pas de frais.

IT Cares accompagne votre PME vers la conformité Loi 25

Audit TI, chiffrement des données, MFA, sauvegardes conformes — nous gérons le volet technologique pour vous. Concentrez-vous sur votre cœur de métier.

Les pénalités en cas de non-conformité à la Loi 25

Sanctions parmi les plus sévères au Canada

Les pénalités prévues par la Loi 25 sont parmi les plus importantes au Canada. Ne sous-estimez pas ces risques : la CAI dispose de pouvoirs d'enquête étendus et peut agir de sa propre initiative.

La Loi 25 prévoit deux niveaux de sanctions :

Sanctions administratives (imposées par la CAI)

La Commission d'accès à l'information peut imposer des sanctions administratives pécuniaires pouvant atteindre :

Ces sanctions s'appliquent pour des manquements tels que l'absence de politique de confidentialité, le défaut de notification d'un incident, ou le non-respect des droits des individus.

Infractions pénales

Pour les violations les plus graves, notamment lorsqu'un dirigeant agit de manière délibérée ou négligente, les amendes pénales peuvent atteindre :

Des poursuites pénales peuvent être intentées contre les personnes physiques (dirigeants, cadres) et pas uniquement contre la société elle-même.

Au-delà des sanctions financières, un incident mal géré entraîne des risques de réputation dommageables, de perte de clients, et potentiellement de poursuites civiles de la part des personnes dont les données ont été compromises.

Ce que votre fournisseur TI doit faire pour vous aider à vous conformer

La Loi 25 fait de votre fournisseur de services informatiques un acteur clé de votre conformité. En tant que sous-traitant TI, IT Cares a des obligations légales envers vous et doit vous aider à mettre en place les mesures techniques requises. Voici ce qu'un fournisseur TI responsable doit faire pour votre PME :

Checklist de conformité Loi 25 pour PME

Utilisez ce tableau pour évaluer rapidement votre niveau de conformité actuel :

Obligation Statut Responsable
Désigner un RPRP et publier ses coordonnées À faire Direction
Inventaire des données personnelles collectées À faire Direction + IT
Politique de confidentialité mise à jour À faire Direction + Légal
MFA activé sur tous les comptes professionnels À faire IT Cares
Chiffrement des données au repos et en transit À faire IT Cares
Sauvegardes chiffrées hors site testées À faire IT Cares
Procédure de notification d'incidents documentée À faire Direction
Registre des incidents de confidentialité À faire RPRP
Contrat de traitement avec fournisseurs TI À faire Direction + IT Cares
Formation des employés sur la protection des données À faire RH + IT

Questions fréquentes — Loi 25 et PME québécoises

La Loi 25 s'applique-t-elle aux petites entreprises québécoises ?

Oui. La Loi 25 s'applique à toute organisation qui collecte, utilise ou communique des renseignements personnels de résidents du Québec, quelle que soit sa taille. Une entreprise unipersonnelle ou une TPE de 2-3 personnes est soumise aux mêmes obligations qu'une grande entreprise. Il n'existe aucun seuil minimum de taille, d'employés ou de revenus.

Quelles sont les pénalités pour non-conformité à la Loi 25 ?

Les sanctions administratives peuvent atteindre 10 millions de dollars ou 2% des revenus mondiaux, selon le montant le plus élevé. Les pénalités pénales, pour les violations intentionnelles, peuvent monter jusqu'à 25 millions de dollars ou 4% des revenus mondiaux. La Commission d'accès à l'information (CAI) du Québec est l'organisme d'application.

Mon entreprise est-elle conforme si elle utilise Microsoft 365 ?

Pas automatiquement. L'utilisation de Microsoft 365 peut vous aider, mais plusieurs configurations sont nécessaires : activation du MFA sur tous les comptes, politiques de rétention des données, restriction du partage externe, vérification des paramètres de localisation des données (certains plans stockent des données hors Canada par défaut). Un audit de votre configuration par un technicien est recommandé.

Qu'est-ce qu'un responsable de la protection des renseignements personnels (RPRP) ?

Le RPRP est la personne désignée formellement au sein de votre organisation pour superviser la conformité à la Loi 25. Il traite les demandes d'accès aux données, gère les incidents de confidentialité, et s'assure que les politiques sont à jour. Dans une PME, c'est souvent le dirigeant. Son nom et ses coordonnées doivent être publiés sur votre site web — c'est une obligation depuis septembre 2022.

IT Cares peut-il aider notre PME à se conformer à la Loi 25 ?

Oui. IT Cares accompagne les PME québécoises sur le volet technologique de la conformité Loi 25 : audit de l'infrastructure, chiffrement des données, implémentation du MFA, sauvegardes conformes, politique de destruction sécurisée, et signature d'un contrat de traitement des données en tant que sous-traitant TI. Appelez le 1 (888) 711-9428 pour un premier audit gratuit.

Obtenez un audit Loi 25 gratuit pour votre PME

Notre technicien certifié évalue votre infrastructure actuelle, identifie les lacunes et vous propose un plan d'action concret. Audit sans engagement, réponse en 24h.