Loi 25 : ce que les PME québécoises doivent savoir en 2026

La Loi 25 s'applique à vous

Depuis le 22 septembre 2023, la dernière phase de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels est entrée en vigueur. Elle s'applique à toute entreprise qui exerce ses activités au Québec, peu importe sa taille.

Si vous collectez le nom, le courriel, le numéro de téléphone ou toute autre information permettant d'identifier une personne, vous êtes concerné. Un restaurateur qui prend des réservations en ligne, un comptable qui reçoit des documents fiscaux par courriel, un courtier immobilier qui stocke des fiches clients : tous sont soumis aux mêmes obligations.

Les cinq obligations concrètes

La Loi 25 repose sur cinq piliers. Voici ce qu'ils signifient concrètement pour une PME.

1. Désigner un responsable

Chaque organisation doit nommer une personne responsable de la protection des renseignements personnels et publier ses coordonnées sur son site web. Dans une PME, c'est souvent le propriétaire ou un gestionnaire désigné.

Ce n'est pas un rôle à temps plein. C'est une responsabilité formelle qui garantit qu'une personne est imputable en cas d'incident.

2. Obtenir un consentement éclairé

Vous devez informer clairement vos clients de la raison pour laquelle vous collectez leurs renseignements personnels avant de le faire. Le consentement doit être libre, éclairé et donné à des fins précises.

En pratique, cela signifie :

• Un formulaire de contact doit expliquer pourquoi vous demandez le courriel
• Une case pré-cochée ne constitue pas un consentement valide
• Le client doit pouvoir retirer son consentement aussi facilement qu'il l'a donné

3. Tenir un registre

Votre organisation doit maintenir un inventaire de tous les renseignements personnels qu'elle détient : leur nature, leur provenance, qui y a accès et combien de temps vous les conservez.

La CAI recommande de documenter les éléments suivants pour chaque catégorie de données :

• Le type de renseignement (nom, courriel, adresse, etc.)
• La raison de la collecte
• L'emplacement de stockage
• Les personnes qui y ont accès
• La durée de conservation prévue

4. Réaliser une EFVP

Avant tout nouveau projet impliquant des renseignements personnels (un nouveau logiciel, une intégration, un partenaire), vous devez réaliser une évaluation des facteurs relatifs à la vie privée (EFVP).

L'objectif est d'identifier les risques avant qu'ils ne se matérialisent. La CAI fournit un guide de référence pour structurer cette évaluation.

5. Garantir le droit d'accès

Vos clients ont le droit de savoir quelles informations vous détenez sur eux, de les faire corriger et, dans certains cas, de demander leur suppression. Vous devez répondre à ces demandes dans un délai de 30 jours.

Les incidents de confidentialité : ce qui a changé

Depuis septembre 2023, toute entreprise qui constate un incident de confidentialité présentant un risque de préjudice sérieux doit :

1. Contenir l'incident (stopper la fuite, sécuriser l'accès)
2. Évaluer le risque de préjudice pour les personnes concernées
3. Aviser la CAI et les personnes touchées si le risque est sérieux
4. Tenir un registre de tous les incidents, même ceux qui ne présentent pas de risque sérieux

La notification à la CAI et aux personnes concernées doit être faite avec diligence. Le registre des incidents doit être conservé pendant au moins 5 ans.

Ce que ça change pour vos outils numériques

La Loi 25 a un impact direct sur le choix de vos outils d'affaires. Voici les questions à vous poser :

Où sont hébergées les données ? Si votre CRM, votre outil de courriel ou votre plateforme de facturation stocke les données aux États-Unis, ces données sont soumises aux lois américaines (dont le CLOUD Act). Cela ne vous rend pas automatiquement non conforme, mais vous devez en informer vos clients et documenter les mesures de protection en place.

Qui a accès aux données ? Chaque sous-traitant qui accède à des renseignements personnels en votre nom doit être documenté. Cela inclut vos logiciels SaaS, votre comptable externe et votre agence marketing.

Les données sont-elles chiffrées ? La Loi 25 n'impose pas explicitement le chiffrement, mais la CAI le recommande comme mesure de sécurité raisonnable. En cas d'incident, l'absence de chiffrement sera prise en compte dans l'évaluation de votre diligence.

Une liste de contrôle en 5 étapes

Pour structurer votre démarche de conformité :

1. Nommer un responsable et publier ses coordonnées sur votre site web
2. Faire l'inventaire de tous les renseignements personnels que vous détenez (clients, employés, fournisseurs)
3. Mettre à jour vos politiques de confidentialité pour qu'elles soient claires, complètes et accessibles
4. Sécuriser vos systèmes : chiffrement des données, accès restreints, mots de passe robustes
5. Documenter vos pratiques de collecte, traitement et suppression des données

Comment l'automatisation aide à rester conforme

Les solutions d'automatisation bien conçues intègrent la conformité dès la conception plutôt qu'en rattrapage :

Hébergement au Canada. Les données restent sur des infrastructures canadiennes. Aucun renseignement personnel ne transite vers des serveurs étrangers sans consentement explicite.

Chiffrement standard. Les données au repos et en transit sont chiffrées. Les accès sont limités aux seules personnes qui en ont besoin.

Minimisation des données. Les systèmes ne collectent que ce qui est strictement nécessaire à leur fonction. Moins de données collectées, c'est moins de risques à gérer.

Journaux d'activité. Les systèmes génèrent des traces qui facilitent la tenue de votre registre et la réalisation de vos EFVP.

Ressources officielles

La CAI met à disposition plusieurs outils pour accompagner les entreprises dans leur démarche de conformité. Ces ressources sont gratuites et régulièrement mises à jour.