Blogue
Conformité10 min de lecture26 mars 2026

Loi 25 : guide de conformité pour PME québécoises

Depuis septembre 2023, la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est pleinement en vigueur au Québec. Toutes les entreprises qui collectent des renseignements personnels sont visées — y compris les PME, les travailleurs autonomes et les cliniques. Ce guide explique concrètement ce que la loi exige de vous, sans jargon juridique.

Ce que la Loi 25 change pour votre entreprise

Avant la Loi 25, le Québec avait des règles de protection des données, mais elles étaient rarement appliquées aux petites entreprises. La Loi 25 change la donne : peu importe votre taille, si vous collectez le nom, le courriel, le numéro de téléphone ou toute autre information identifiant une personne, vous êtes assujetti.

Les amendes sont substantielles : jusqu'à 25 millions de dollars ou 4% du chiffre d'affaires mondial pour les infractions graves. Pour une PME, même une fraction de ces montants peut être dévastatrice.

Les 7 obligations concrètes

  1. 1

    Désigner un responsable de la protection des renseignements personnels. Par défaut, c'est le dirigeant de l'entreprise. Son nom et ses coordonnées doivent être publiés sur votre site web.

  2. 2

    Publier une politique de confidentialité sur votre site. Elle doit être rédigée en termes clairs et accessibles, pas en jargon juridique. Elle doit préciser : quelles données vous collectez, pourquoi, comment, combien de temps vous les conservez, et avec qui vous les partagez.

  3. 3

    Obtenir le consentement explicite avant de collecter des données personnelles. Un formulaire pré-coché ne suffit pas. Le consentement doit être manifeste, libre et éclairé. Pour les données sensibles, le consentement doit être donné expressément.

  4. 4

    Informer les visiteurs qui interagissent avec un système automatisé. Si votre site utilise un chatbot, un formulaire intelligent ou tout autre système automatisé qui prend des décisions, l'article 12.1 exige que vous informiez la personne qu'elle interagit avec un système automatisé.

  5. 5

    Respecter le droit d'accès, de rectification et de suppression. Toute personne peut vous demander quelles données vous détenez sur elle, exiger des corrections, ou demander la suppression de ses données. Vous avez 30 jours pour répondre.

  6. 6

    Signaler les incidents de confidentialité. Si vous subissez une brèche de données (vol, accès non autorisé, perte), vous devez la signaler à la Commission d'accès à l'information (CAI) et aux personnes concernées si le risque de préjudice est sérieux.

  7. 7

    Évaluer les facteurs relatifs à la vie privée (EFVP). Avant tout nouveau projet qui implique la collecte de données personnelles, vous devez réaliser une évaluation des impacts sur la vie privée.

Le minimum viable pour une PME

Vous n'avez pas besoin d'un cabinet d'avocats pour être conforme. Voici les actions concrètes, par ordre de priorité :

  • 1

    Désignez votre responsable et publiez ses coordonnées sur votre site (5 minutes)

  • 2

    Rédigez et publiez votre politique de confidentialité (1-2 heures avec un modèle)

  • 3

    Ajoutez un bandeau de consentement aux cookies avec « Tout refuser » aussi visible que « Tout accepter » (30 minutes si vous utilisez un outil comme CookieConsent)

  • 4

    Ajoutez une case à cocher de consentement sur vos formulaires de contact — non pré-cochée (10 minutes)

  • 5

    Si vous avez un chatbot : ajoutez un message de divulgation au premier message (« Vous interagissez avec un système automatisé »)

  • 6

    Documentez où vous stockez vos données, combien de temps, et qui y a accès (1-2 heures)

  • 7

    Créez une procédure pour répondre aux demandes d'accès en moins de 30 jours

Les erreurs fréquentes

Formulaire avec consentement pré-coché — Le consentement doit être un geste actif. Une case pré-cochée ou un texte du genre « en soumettant ce formulaire, vous acceptez... » ne respecte pas la loi.

Politique de confidentialité copiée d'un autre site — Votre politique doit refléter vos pratiques réelles. Copier celle d'un autre site qui utilise des technologies différentes vous expose à des contradictions.

Pas de divulgation sur le chatbot — Si votre site a un chatbot ou un assistant virtuel, ne pas informer le visiteur qu'il interagit avec un système automatisé est une infraction directe à l'article 12.1.

Données hébergées hors Canada sans le documenter — Si vos données transitent par des serveurs américains (ce qui est le cas si vous utilisez la plupart des services cloud), vous devez le documenter dans votre politique et évaluer les risques.

Pas de procédure pour les demandes d'accès — Un client demande ses données? Vous avez 30 jours. Sans procédure en place, vous risquez de dépasser le délai.

Ce que ça signifie pour votre site web

Votre site web est souvent le premier point de collecte de données personnelles. Voici les éléments à vérifier :

  • Page de confidentialité accessible en un clic depuis n'importe quelle page (lien dans le footer)

  • Bandeau de cookies avec refus par défaut — l'absence de réponse doit équivaloir à un refus

  • Formulaires de contact avec case de consentement explicite, non pré-cochée

  • Chatbot avec message de divulgation (système automatisé) et consentement avant collecte de données

  • Données hébergées au Canada de préférence, ou documentation des transferts transfrontaliers

  • Lien « Gérer mes préférences » permanent dans le footer pour les cookies

Et si j'utilise des outils américains?

La plupart des PME utilisent des outils dont les serveurs sont aux États-Unis : Google Analytics, Mailchimp, HubSpot, Intercom. Ce n'est pas interdit, mais la Loi 25 exige que vous :

  • Documentiez ces transferts dans votre politique de confidentialité

  • Évaluiez les risques liés à ces transferts (EFVP simplifiée)

  • Vous assuriez que ces fournisseurs ont des politiques de protection adéquates

  • Informiez vos utilisateurs que leurs données peuvent transiter hors du Canada

L'alternative : héberger vos données au Canada. C'est ce que nous faisons chez Synaptiqc — infrastructure OVH à Beauharnois, Québec. C'est plus simple à documenter et ça élimine le risque réglementaire.

Conclusion

La Loi 25 n'est pas une montagne insurmontable pour une PME. Les bases peuvent être mises en place en une journée de travail. L'important, c'est de commencer : désigner un responsable, publier une politique, et mettre en place les mécanismes de consentement.

Si vous n'êtes pas sûr de votre niveau de conformité, on peut vous aider. Notre diagnostic gratuit de 30 minutes inclut une évaluation rapide de votre conformité Loi 25.

Pas sûr de votre conformité?

Notre diagnostic gratuit inclut une évaluation de votre conformité Loi 25. 30 minutes, sans engagement.

Diagnostic gratuit — 30 min

Respect de votre vie privée

Ce site utilise des témoins de connexion (cookies) strictement nécessaires à son fonctionnement. Les témoins analytiques et marketing sont désactivés par défaut et ne sont activés qu'avec votre consentement explicite.