Dernière vérification :

Loi 25 expliquée aux PME du Québec

Toutes vos obligations expliquées sans jargon : responsable désigné, registre des incidents, ÉFVP et sanctions. Diagnostic gratuit en 60 secondes.

Site indépendant — Non affilié au gouvernement du Québec

Où en êtes-vous ? Diagnostic en 60 secondes

Question 1 sur 5

Avez-vous désigné un responsable de la protection des renseignements personnels ?

art. 3.1

Calendrier d'application de la Loi 25

Les obligations se sont déployées par vagues depuis 2022. Voici ce qui est entré en vigueur à chaque échéance.

  1. Jalon 1

    • Responsable de la protection des RP désigné et publié
    • Registre des incidents
    • Notification des incidents à la CAI
  2. Jalon 2

    • Politiques de confidentialité publiées
    • ÉFVP
    • Consentement renforcé
    • Communication hors Québec encadrée
    • Sanctions applicables
  3. Jalon 3

    • Droit à la portabilité des données

    Depuis septembre 2024, toutes les obligations s'appliquent. La CAI peut sanctionner.

Votre situation, votre obligation

Six scénarios concrets rencontrés par les PME québécoises — et ce que la Loi 25 exige dans chaque cas.

Je collecte des courriels clients

La Loi 25 exige que toute collecte de courriels clients soit accompagnée d'un consentement clair et d'une finalité identifiée. Vous devez informer la personne des fins précises pour lesquelles son adresse sera utilisée, avant ou au moment de la collecte.

art. 14 · art. 8

Un consentement vague ou une finalité non déclarée expose votre entreprise à une plainte à la CAI.

Documentez cette obligation →

J'ai des caméras dans mon commerce

La Loi 25 encadre les images captées par vidéosurveillance comme des renseignements personnels. Vous devez afficher un avis visible aux personnes filmées et mener une ÉFVP si les images constituent des renseignements biométriques ou sont communiquées à un tiers.

art. 3.5 · art. 44

Une caméra sans avis affiché ou sans ÉFVP documentée peut entraîner une intervention de la CAI.

Documentez cette obligation →

J'utilise Google Analytics ou des pixels

La Loi 25 impose la transparence sur l'utilisation de témoins et traceurs numériques. Vous devez informer les visiteurs, obtenir un consentement valable pour les témoins non essentiels et documenter les finalités de mesure dans votre politique de confidentialité.

art. 8.1

Des traceurs actifs sans consentement préalable constituent une violation documentée par la CAI.

Documentez cette obligation →

Je stocke mes données aux États-Unis

La Loi 25 exige une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant toute communication de renseignements personnels hors Québec, y compris lorsque vos serveurs ou sous-traitants sont situés à l'étranger. L'ÉFVP doit couvrir les garanties contractuelles et les risques du transfert.

art. 17

Un hébergement hors Québec sans ÉFVP préalable peut déclencher des sanctions administratives.

Documentez cette obligation →

Un employé a perdu son portable

La Loi 25 oblige toute entreprise à consigner tout incident de confidentialité dans un registre interne, y compris la perte d'un appareil contenant des renseignements personnels. Si l'incident présente un risque de préjudice sérieux, vous devez aviser la CAI et les personnes concernées avec diligence.

art. 3.8 · art. 3.5

L'absence de registre ou de notification en cas de préjudice sérieux agrave la responsabilité de l'entreprise.

Documentez cette obligation →

Un client demande ses données

La Loi 25 confère aux personnes un droit d'accès à leurs renseignements personnels que vous détenez. Vous disposez de 30 jours pour répondre et, depuis 2024, de l'obligation de faciliter la portabilité des données dans un format technologique couramment utilisé lorsque la demande le prévoit.

art. 27 · art. 27.1

Un délai dépassé ou un refus non motivé ouvre droit à une plainte et à une sanction.

Documentez cette obligation →

Sanctions en cas de non-conformité

La Loi 25 prévoit deux régimes de sanctions distincts pour les entreprises : les sanctions administratives pécuniaires imposées par la CAI et les sanctions pénales devant les tribunaux. Les montants ci-dessous s'appliquent selon le régime concerné — ils ne doivent jamais être confondus.

Dernière vérification :

Sanctions administratives pécuniaires (CAI)

jusqu'à 10 000 000 $

ou 2 % du chiffre d'affaires mondial

selon le plus élevé — régime administratif (CAI)

Sanctions pénales

jusqu'à 25 000 000 $

ou 4 % du chiffre d'affaires mondial

selon le plus élevé — régime pénal (tribunaux)

La CAI privilégie l'accompagnement, mais le pouvoir de sanction est en vigueur.

Questions fréquentes

Réponses directes aux questions les plus posées sur la Loi 25

La Loi 25 s'applique-t-elle à ma petite entreprise ?
Oui — la Loi 25 s'applique à toute entreprise au Québec qui recueille, utilise, communique ou conserve des renseignements personnels, quelle que soit sa taille. Une micro-entreprise, un travailleur autonome ou une PME de quelques employés est visée dès qu'elle traite des données de clients, d'employés ou de fournisseurs.
Quelle différence entre la Loi 25 et le RGPD ?
La Loi 25 est la loi québécoise sur la protection des renseignements personnels dans le secteur privé ; le RGPD est le règlement européen. Les deux protègent la vie privée, mais diffèrent sur la juridiction, certaines définitions, les mécanismes de consentement et les régimes de sanctions. Une entreprise québécoise qui traite des données de résidents de l'UE doit respecter les deux cadres le cas échéant.
Dois-je nommer un responsable même si je suis seul ?
Oui — toute entreprise assujettie à la Loi 25 doit avoir un responsable de la protection des renseignements personnels (RPP). Par défaut, c'est la personne ayant la plus haute autorité dans l'organisme ; la fonction peut être déléguée. Même un entrepreneur solo doit publier le titre et les coordonnées de cette personne sur son site web ou par tout autre moyen approprié.
Qu'est-ce qu'un incident de confidentialité ?
Un incident de confidentialité, au sens de la Loi 25, est l'accès non autorisé, l'utilisation non autorisée, la communication non autorisée, la perte ou la destruction de renseignements personnels. L'entreprise doit consigner chaque incident dans un registre et, s'il présente un risque de préjudice sérieux, aviser la CAI et les personnes concernées avec diligence.
Combien de temps ai-je pour répondre à une demande d'accès ?
Pour répondre à une demande d'accès sous la Loi 25, une entreprise dispose de 30 jours à compter de la réception de la demande. Ce délai peut être prolongé de 30 jours supplémentaires si la complexité le justifie, en informant la personne par écrit. Un refus doit être motivé et la personne doit être informée de son droit de porter plainte à la CAI.

Sachez exactement où vous en êtes

Évaluation complète de votre conformité Loi 25 en 30 minutes — gratuite, sans carte de crédit.

Évaluer ma conformité sur Conforme360 → ↗

Outil développé par Conforme360