📋 Sur cette page

  1. Vérificateur interactif — 5 questions
  2. Ce que la Loi 25 exige des entreprises
  3. Tableau des obligations par niveau
  4. Nommer un responsable — comment faire
  5. Rédiger une politique de confidentialité
  6. Incidents de confidentialité — les délais
  7. Sanctions et rôle de la CAI

La Loi 25 est pleinement en vigueur depuis septembre 2023. La plupart des PME québécoises n'ont pas encore posé les gestes requis — pas par mauvaise volonté, mais parce que personne ne leur a dit clairement ce qui les concerne. Ce vérificateur fait exactement ça.

Répondez honnêtement. Le résultat n'est pas un audit légal, mais il vous donnera une image fidèle de votre situation et une liste d'actions concrètes à faire en premier.

Vérificateur de conformité Loi 25

Répondez aux 5 questions ci-dessous. Résultat immédiat.

Question 1 sur 5
Avez-vous un site web avec Google Analytics, un Meta Pixel, ou un formulaire de contact?

Incluez tout site d'entreprise, portfolio, boutique en ligne ou page de service — même un site simple sur Wix ou WordPress.

Question 2 sur 5
Collectez-vous des adresses courriel — newsletter, liste de clients, formulaire de contact?

Même une liste de 20 clients dans un fichier Excel compte. Le volume n'a pas d'importance : l'obligation existe dès le premier contact collecté.

Question 3 sur 5
Utilisez-vous des outils tiers qui traitent des données de vos clients — Mailchimp, Stripe, Shopify, Zoom, HubSpot, ou similaires?

Toute plateforme à qui vous confiez des données de clients ou de prospects est un « sous-traitant » au sens de la Loi 25. Vous êtes responsable de vérifier leurs pratiques.

Question 4 sur 5
Avez-vous des employés ou des sous-traitants qui accèdent à des données de clients?

Comptabiliste, adjoint virtuel, développeur web, stagiaire — si quelqu'un d'autre que vous peut consulter une liste de clients ou un CRM, répondez oui.

Question 5 sur 5
Collectez-vous des informations de paiement, des numéros d'assurance sociale, ou d'autres données sensibles?

Les données sensibles incluent : finances, santé, origine ethnique, convictions politiques ou religieuses, orientation sexuelle, données biométriques. Même en transit (paiement par carte), elles s'appliquent.

    Ce que la Loi 25 exige des entreprises

    La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (communément appelée Loi 25) s'est déployée en trois phases entre 2022 et 2023. Depuis le 22 septembre 2023, l'ensemble des obligations est en vigueur.

    Contrairement à une idée répandue, la loi ne vise pas uniquement les grandes entreprises. Elle s'applique à toute personne qui exploite une entreprise au Québec — travailleur autonome, PME, OBNL, coopérative. Le critère est simple : collectez-vous des renseignements personnels sur des personnes dans le cadre de vos activités?

    ⚠️ Septembre 2023 : la date est passée La pleine conformité était attendue à l'automne 2023. Si vous ne vous êtes pas encore mis à jour, vous n'êtes pas seul — mais chaque mois supplémentaire représente un risque. La Commission d'accès à l'information (CAI) reçoit des plaintes et peut enquêter même sur une PME de 3 personnes.

    La bonne nouvelle : rattraper le retard est plus simple qu'il n'y paraît pour la majorité des petites entreprises. Les obligations les plus lourdes (EFVP, registre de confidentialité) s'appliquent principalement aux entreprises qui traitent des volumes importants de données sensibles.

    Tableau des obligations selon votre niveau de risque

    Obligation Risque faible
    (0–1 oui)    		 Risque modéré
    (2–3 oui)    		 Risque élevé
    (4–5 oui)
    Politique de confidentialité Recommandée Requise Requise
    Nommer un responsable de la protection (RPRP) Requise Requise + publier son nom
    Avis de collecte au moment de la collecte Requise Requise
    Contrats avec les sous-traitants (clauses de confidentialité) Requise Requise
    Procédure de réponse aux demandes d'accès Requise Requise
    Évaluation des facteurs relatifs à la vie privée (EFVP) Si applicable Requise pour nouveaux projets à risque
    Déclaration d'incident à la CAI et aux personnes touchées Si incident survient Si incident survient Si incident survient — délais stricts
    Registre des incidents de confidentialité Recommandé Requis

    Nommer un responsable de la protection — comment faire

    La loi exige que toute entreprise désigne un responsable de la protection des renseignements personnels (RPRP). Pour une PME ou un travailleur autonome, c'est souvent vous-même — et c'est tout à fait valide.

    Ce que ça implique concrètement :

    💡 Pour un travailleur autonome Nommez-vous responsable dans votre politique de confidentialité avec votre prénom, nom et un courriel de contact professionnel. C'est la solution la plus simple et elle respecte pleinement la loi.

    Rédiger une politique de confidentialité — les éléments obligatoires

    Une politique de confidentialité pour PME n'a pas besoin d'être un document de 20 pages. Elle doit couvrir les points suivants :

    1. Quelles données sont collectées — courriel, nom, adresse IP, données de paiement, etc.
    2. Pourquoi elles sont collectées — facturation, marketing, service après-vente, etc.
    3. Qui y a accès — employés, sous-traitants nommément identifiés (Mailchimp, Stripe…)
    4. Combien de temps elles sont conservées — même une réponse approximative est acceptable pour une PME
    5. Comment les exercer ses droits — coordonnées du RPRP et délai de réponse (30 jours)
    6. Transferts hors Québec — si vous utilisez des outils américains (AWS, Google, Mailchimp), vous devez le mentionner

    Des générateurs gratuits comme Iubenda ou TermsFeed peuvent produire une version de base adaptée au Québec en moins de 10 minutes. Vérifiez que la loi québécoise (Loi 25 / L.R.Q. c. P-39.1) y est mentionnée explicitement.

    Incidents de confidentialité — les délais à respecter

    Un incident de confidentialité, c'est tout accès non autorisé, toute communication ou utilisation de renseignements personnels, ou toute perte de données. Un courriel envoyé à la mauvaise personne, un portable volé, une base de données exposée — tout ça compte.

    Les délais légaux si un incident survient :

    🚨 Ne tardez pas à déclarer un incident Tarder à déclarer un incident connu est une faute aggravante. Si la CAI apprend qu'une entreprise a attendu des semaines avant de déclarer une fuite, les amendes sont significativement plus élevées. En cas de doute, déclarez et laissez la CAI évaluer la gravité.

    Sanctions et rôle de la Commission d'accès à l'information

    La CAI est l'organisme de surveillance chargé d'appliquer la Loi 25. Elle peut enquêter sur plainte ou de sa propre initiative, émettre des ordonnances de conformité, et imposer des amendes administratives.

    Les amendes maximales prévues par la Loi 25 :

    En pratique, la CAI adopte une approche progressive pour les PME en première infraction : avertissement, ordonnance de conformité, puis sanctions si la non-conformité persiste. Les cas de sanctions immédiates concernent surtout les incidents graves non déclarés ou le refus de coopérer.

    Cela dit, les amendes existent pour être appliquées — et la CAI a reçu un budget renforcé depuis 2023 précisément pour augmenter le nombre d'enquêtes. Ne comptez pas sur la discrétion permanente.

    📞 Ressource gratuite La CAI offre des consultations téléphoniques gratuites pour les entreprises qui veulent savoir par où commencer. Appelez le 1 888 528-7741 ou consultez cai.gouv.qc.ca. Ce sont eux qui appliquent la loi — autant les appeler plutôt que d'attendre leur appel.

    Aller plus loin

    La conformité à la Loi 25 protège vos clients — mais pas nécessairement votre propre entreprise contre les cybermenaces. Une politique de confidentialité ne chiffre pas vos connexions, ne sécurise pas votre accès aux outils SaaS depuis un café, et ne protège pas vos courriels en transit.