Depuis le 22 septembre 2023, la Loi 25 — la version québécoise des grandes lois modernes sur la protection des renseignements personnels — s'applique à toutes les entreprises qui font affaire au Québec, peu importe leur taille. Contrairement à un préjugé répandu, ce n'est pas une loi réservée aux grandes entreprises ou aux géants du web : une PME de trois employés qui recueille des noms, courriels ou numéros de téléphone de clients est déjà visée. Voici ce qu'il faut mettre en place concrètement, sans y laisser un budget de multinationale.
Qui est concerné et pourquoi c'est sérieux
Dès qu'une entreprise collecte, utilise ou conserve des renseignements personnels — ceux de clients, d'employés, de fournisseurs ou de simples visiteurs de site web — elle est assujettie à la Loi 25. Cela inclut un formulaire de contact, une liste d'envoi courriel, un système de paie ou même de simples factures avec noms et adresses. Les sanctions ne sont pas symboliques : les amendes administratives peuvent atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial, et les sanctions pénales grimpent jusqu'à 25 millions ou 4 % du chiffre d'affaires. Peu de PME atteindront ces sommets, mais la Commission d'accès à l'information (CAI) peut aussi imposer des amendes proportionnées aux petites structures en cas de manquement grave, notamment lors d'une fuite de données.
Les quatre obligations incontournables
1. Une politique de confidentialité claire et accessible
Votre site web et vos formulaires doivent expliquer, en langage simple, quels renseignements vous recueillez, pourquoi, comment ils sont conservés et à qui ils peuvent être communiqués. Cette politique doit être facilement repérable — pas enfouie dans un pied de page illisible — et rédigée dans un français clair, sans jargon juridique inutile.
2. Un consentement valide et éclairé
Fini les cases précochées ou les consentements globaux vagues. Le consentement doit être demandé pour des fins précises, séparément si les usages sont multiples (par exemple, envoyer une facture n'est pas la même finalité qu'envoyer une infolettre). Si vous faites du courriel marketing, assurez-vous que chaque inscription à votre liste repose sur un consentement explicite et documenté.
3. Un registre des incidents de confidentialité
Toute entreprise doit tenir un registre des incidents de confidentialité, même mineurs (courriel envoyé au mauvais destinataire, ordinateur volé, accès non autorisé). Si un incident présente un risque sérieux de préjudice, vous devez aviser la CAI et les personnes concernées dans les meilleurs délais.
4. La nomination d'un responsable de la protection des renseignements personnels
Par défaut, c'est le propriétaire ou le dirigeant principal de l'entreprise qui porte ce titre, sauf délégation formelle à quelqu'un d'autre. Son nom et ses coordonnées doivent être accessibles sur demande, souvent directement dans la politique de confidentialité.
À retenir : même une entreprise individuelle sans employé doit se conformer à la Loi 25 si elle recueille des renseignements personnels — via un site web, une boutique en ligne ou une simple liste de clients.
« La conformité à la Loi 25 n'est pas un exercice ponctuel : c'est une pratique de gestion continue, au même titre que la comptabilité ou la paie. »
Par où commencer concrètement
- Faites l'inventaire de tous les renseignements personnels que vous recueillez (clients, employés, fournisseurs) et où ils sont stockés.
- Rédigez ou mettez à jour votre politique de confidentialité et publiez-la sur votre site.
- Révisez vos formulaires (contact, infolettre, embauche) pour un consentement clair et distinct par finalité.
- Créez un registre simple des incidents, même dans un tableur, et définissez qui doit être avisé en cas de problème.
- Vérifiez vos ententes avec vos fournisseurs technologiques (hébergement, CRM, paie) : ils doivent eux aussi protéger adéquatement les données que vous leur confiez.
Ressources officielles :
- Commission d'accès à l'information du Québec (CAI) — guides et outils pour les entreprises
- Éducaloi — explications juridiques en langage clair
Un enjeu qui touche aussi vos RH et votre marketing
La Loi 25 ne se limite pas au site web : elle encadre aussi les dossiers d'employés que vous constituez dès l'embauche de votre premier employé, ainsi que les données recueillies via vos campagnes de publicité numérique ou vos formulaires de page de destination. Pensez conformité dès la conception de vos outils, plutôt qu'en réaction à une plainte. C'est aussi une question de confiance : une politique de confidentialité transparente rassure vos clients et peut même devenir un argument de crédibilité pour une jeune entreprise. Pour l'ensemble des obligations légales liées au démarrage, consultez notre section Législation & réglementation.
Vous avez aimé ? Partagez cet article avec un futur entrepreneur de votre entourage.