Loi 25 : le guide essentiel pour les PME québécoises (et comment s’y conformer sans stress)
Depuis septembre 2023, toutes les entreprises québécoises, même les plus petites, doivent se conformer à la Loi 25, la réforme qui modernise la protection des renseignements personnels.
Mais qu’est-ce que ça change concrètement ? Et surtout, comment une PME peut-elle s’y préparer sans exploser son budget ?
Voici un guide simple, pratique et adapter au réalitées des québécois pour comprendre et appliquer la Loi 25 sans stress.
Qu’est-ce que la Loi 25 ?
La Loi 25, ou Loi modernisant les dispositions législatives en matière de protection des renseignements personnels, vise à donner plus de contrôle aux citoyens sur leurs données.
Entrée en vigueur par étapes entre 2022 et 2024, elle s’inspire directement du modèle européen (le RGPD) et impose de nouvelles obligations à toutes les organisations qui recueillent, conservent ou utilisent des données personnelles de Québécois.
Autrement dit : que vous soyez un cabinet comptable, une entreprise d’apareils électroniques ou une start-up en croissance, vous êtes concerné.
À qui s’applique la Loi 25 ?
Elle s’applique à toute entreprise ou organisme privé qui :
collecte des renseignements sur ses clients, employés ou partenaires ;
stocke des données personnelles (même dans le cloud) ;
ou confie la gestion de ces données à un fournisseur externe.
Les PME et OBNL sont donc tout autant visés que les grandes entreprises.
Les principales obligations à connaître
1. Nommer un responsable de la protection des renseignements personnels (RPRP)
Toute organisation doit désigner une personne responsable — souvent le dirigeant ou le DSI — qui veille à la conformité et agit comme point de contact avec la Commission d’accès à l’information (CAI).
2. Informer clairement les personnes concernées
Lors de la collecte, vous devez préciser :
pourquoi vous recueillez les données ;
comment elles seront utilisées ;
et combien de temps elles seront conservées.
3. Obtenir un consentement explicite et libre
Les formulaires précochés ne sont plus valides. Le client doit accepter clairement la collecte de ses renseignements.
4. Prévoir un plan en cas d’incident de confidentialité
Une brèche, une perte de clé USB, un vol d’ordinateur ? Vous devez documenter l’incident et en aviser la CAI ainsi que les personnes touchées.
5. Permettre aux citoyens d’accéder à leurs données
Sur demande, une personne doit pouvoir consulter, corriger ou supprimer les informations que vous détenez sur elle.
6. Sécuriser les données
Les entreprises doivent mettre en place des mesures techniques et organisationnelles pour limiter les risques d’accès non autorisé : mots de passe robustes, chiffrement, pare-feu, formation des employés, etc.
Les amendes prévues
Les sanctions peuvent être sérieuses :
jusqu’à 25 millions $ ou 4 % du chiffre d’affaires annuel (le plus élevé des deux) pour les cas graves ;
des pénalités administratives à partir de 10 000 $ ;
et des sanctions pénales pour négligence répétée.
Bref, même pour une PME, ignorer la Loi 25 peut coûter cher.
Comment se conformer sans se noyer dans la paperasse ?
1. Cartographier vos données
Dressez la liste de tous les endroits où vous conservez des données personnelles : courriels, CRM, formulaires en ligne, factures, etc.
2. Créez une politique de confidentialité claire
Expliquez noir sur blanc comment vous collectez, utilisez et protégez les renseignements personnels.
3. Formez vos employés
Un simple clic peut compromettre la sécurité d’une entreprise. La sensibilisation demeure la meilleure défense contre les cybermenaces.
4. Sécurisez vos outils
Assurez-vous que vos appareils et logiciels sont à jour, protégés par des mots de passe forts et que les accès sont limités.
5. Documentez vos procédures
Conservez une trace de vos actions (formation, correctifs, incidents). En cas d’audit, vous pourrez prouver votre conformité.
La conformité à la Loi 25, ce n’est pas qu’une contrainte : c’est une occasion de bâtir la confiance et de renforcer la réputation de votre entreprise.
Chez Vigelia, on croit que la cybersécurité commence par la sensibilisation. Nos formations rendent les bons réflexes simples et accessibles à tous.
Demandez votre essai gratuit et découvrer combien il est simple d’être vigilant !
