📋 Sur cette page
- Nommer un responsable de la protection des données
- Collecte minimale : ne demande que ce dont tu as besoin
- Consentement explicite vs implicite
- Droits d'accès et de rectification de tes clients
- Shopify, Stripe, Mailchimp — qui a tes données clients?
- Courriel marketing : LCAP + Loi 25
- Conservation et destruction sécurisée
- Sanctions CAI : jusqu'à 25 M$
La cybersécurité — ransomware, hameçonnage, sauvegardes — c'est une chose. La gouvernance des données, c'en est une autre. La Loi 25 t'impose des obligations sur la façon dont tu collectes, traites, et détruis les renseignements personnels de tes clients et de tes employés. Ce guide couvre la deuxième dimension, complémentaire au guide cybersécurité PME.
Nommer un responsable de la protection des données
La Loi 25 (art. 3.1) exige que toute entreprise qui collecte des renseignements personnels désigne un responsable de la protection des renseignements personnels (RPRP). Dans une PME, c'est souvent toi, le ou la propriétaire, par défaut.
Ce responsable doit s'assurer que les politiques de protection des données sont en place, traiter les demandes d'accès des personnes concernées, et gérer les incidents de confidentialité. Son nom (ou son titre) et ses coordonnées doivent être publiés sur ton site web.
Collecte minimale : ne demande que ce dont tu as besoin
La Loi 25 (art. 5) codifie le principe de minimisation des données : tu ne peux collecter que les renseignements personnels nécessaires à la finalité déclarée. Demander la date de naissance d'un client pour une livraison de pizza — aucune justification valable.
Revois chaque formulaire de ton site et de tes processus internes. Chaque champ doit avoir une raison d'être documentée. Si tu ne peux pas expliquer pourquoi tu collectes une information, ne la collecte pas.
Consentement explicite vs implicite
Le consentement implicite (opt-out) — par exemple, cocher une case pré-cochée pour s'inscrire à ton infolettre — n'est plus valable pour la collecte de données sensibles au Québec. La Loi 25 exige un consentement manifeste, libre et éclairé.
Pour les communications marketing, tu dois obtenir un consentement explicite (opt-in) : une case non cochée que le client coche lui-même. Pour les données de santé, les renseignements financiers ou les informations sur les mineurs, le consentement doit être encore plus explicite et documenté.
Droits d'accès et de rectification de tes clients
Tout client (ou employé) dont tu détiens des renseignements personnels peut, sous la Loi 25 (art. 27–28) :
- Demander à consulter les informations que tu détiens sur lui
- Demander la correction d'informations inexactes
- Demander la destruction de ses renseignements lorsqu'ils ne sont plus nécessaires
- Demander la portabilité (transmission à un tiers) dans un format technologique courant
Tu dois répondre à ces demandes dans les 30 jours suivant leur réception (art. 30). Si tu refuses tout ou partie de la demande, tu dois indiquer les motifs par écrit. Le client peut alors s'adresser à la CAI.
Shopify, Stripe, Mailchimp — qui a tes données clients?
Quand tu utilises Shopify pour ta boutique, Stripe pour les paiements, ou Mailchimp pour tes courriels, ces entreprises deviennent des sous-traitants (en langage Loi 25 : des personnes qui traitent des renseignements pour ton compte). Tu restes responsable de ce qu'ils font avec les données de tes clients.
La Loi 25 (art. 18.3) t'oblige à vérifier que tes sous-traitants offrent des garanties de protection suffisantes. En pratique :
- Shopify : société canadienne (Ontario), signataire du DPA disponible dans les paramètres. Données hébergées aux États-Unis par défaut — demande la résidence canadienne si tu traites des données sensibles.
- Stripe : DPA disponible, données aux États-Unis. Pour les transactions, c'est généralement acceptable avec un DPA signé.
- WooCommerce / WordPress.com : Automattic — DPA disponible, données aux États-Unis. Télécharge et signe le DPA.
- Gmail ou Google Sheets gratuits pour gérer des données clients : Aucun DPA n'est disponible sur les plans gratuits. C'est une violation probable de la Loi 25. Utilise Google Workspace Business (DPA disponible) ou une alternative.
Courriel marketing : LCAP + Loi 25
Deux lois encadrent ton infolettre au Canada : la Loi canadienne anti-pourriel (LCAP/CASL) au fédéral et la Loi 25 au provincial pour les résidents québécois. Les deux doivent être respectées simultanément.
Sous LCAP, tu as besoin d'un consentement exprès pour envoyer des messages commerciaux électroniques, sauf si tu bénéficies d'une relation commerciale existante (achat dans les 2 ans ou demande de renseignements dans les 6 mois). Chaque message doit inclure :
- Ton nom légal et tes coordonnées
- Un mécanisme de désabonnement fonctionnel
- Le désabonnement doit être traité dans 10 jours ouvrables
Les amendes LCAP peuvent atteindre 1 million de dollars pour les particuliers et 10 millions pour les entreprises par violation. Le CRTC applique activement cette loi — des PME québécoises ont reçu des avis d'enquête.
Conservation et destruction sécurisée
La Loi 25 (art. 23) oblige à détruire les renseignements personnels dès qu'ils ne sont plus nécessaires à la finalité pour laquelle ils ont été collectés. Tu dois avoir un calendrier de conservation documenté.
Pour les données d'employés : les dossiers de paie doivent être conservés 7 ans (Loi sur les normes du travail). Les documents liés à des plaintes ou litiges : conserve jusqu'à résolution complète plus un délai de prescription.
La destruction doit être sécurisée : déchiquetage pour les papiers, effacement sécurisé (logiciel de wipe) pour les disques durs, destruction physique pour les supports en fin de vie. Jeter une vieille clé USB contenant des données clients dans le bac de recyclage, c'est une violation.
Sanctions CAI : jusqu'à 25 M$
La Commission d'accès à l'information du Québec (CAI) dispose de deux régimes de sanctions depuis septembre 2023 :
- Amendes administratives (pécuniaires) : jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial, selon le montant le plus élevé — pour les violations moins graves (défaut d'avoir une politique, absence de RPRP, non-respect des délais de réponse)
- Infractions pénales : jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial — pour les violations graves (collecte sans consentement, non-déclaration d'un incident grave)
✅ Liste d'actions prioritaires pour ta PME
- Nommer un RPRP et publier son titre + coordonnées sur ton site web
- Créer un registre des incidents (même simple — un tableur suffit pour commencer)
- Signer les DPA avec tous tes fournisseurs SaaS (Shopify, Stripe, Mailchimp, etc.)
- Vérifier que tes formulaires utilisent l'opt-in explicite pour le marketing
- Publier une politique de confidentialité en français sur ton site
- Établir un calendrier de conservation et prévoir une procédure de destruction sécurisée
Pour l'outil d'autoévaluation de la CAI et les ressources spécifiques aux PME, consulte aussi notre vérificateur de conformité Loi 25 pour PME. Pour les questions de surveillance des employés en télétravail, voir le guide surveillance des employés et télétravail.
Questions fréquentes
Mon PME a-t-elle besoin d'un responsable de la protection des renseignements personnels?
Oui. La Loi 25 exige que toute entreprise qui collecte des renseignements personnels nomme un RPRP. Dans une PME, c'est souvent le ou la propriétaire par défaut. Le titre et les coordonnées de cette personne doivent être publiés sur le site web de l'entreprise.
Quelles sont les sanctions si je ne respecte pas la Loi 25?
La CAI peut imposer des amendes administratives jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial. Pour les infractions pénales graves, les sanctions peuvent atteindre 25 M$ ou 4 % du chiffre d'affaires mondial. Les PME ne sont pas exemptées.
Est-ce que j'ai le droit d'envoyer des courriels marketing à mes clients?
Oui, si tu as obtenu leur consentement explicite ou si tu bénéficies d'une exemption LCAP (relation commerciale existante dans les 2 ans). Tu dois offrir un mécanisme de désabonnement fonctionnel dans chaque courriel et le traiter dans 10 jours ouvrables.