CONSEILSGuardian Nomad
Conformité Loi 25

Conformité à la Loi 25 : ce que votre PME doit vraiment savoir et faire

Dernière mise à jour : juillet 2026

La Loi 25 s’applique à votre entreprise dès que vous détenez des renseignements personnels (clients, employés, abonnés ou fournisseurs), peu importe votre taille. Concrètement, vous devez désigner un responsable, documenter vos pratiques, savoir réagir rapidement en cas d’incident et être capable de le démontrer. Cette page vous explique, en langage clair, les exigences réelles de la loi et comment évaluer où vous en êtes.

Pourquoi agir maintenant ? En juin 2026, les agences de cyberdéfense de la collectivité des Cinq, dont le Centre canadien pour la cybersécurité, ont lancé un appel sans détour aux dirigeants : face aux cyberrisques amplifiés par l'intelligence artificielle, l'échéance ne se compte plus en années, mais en mois. La conformité n'est plus un projet qu'on repousse à l'an prochain.

Mon entreprise est-elle assujettie à la Loi 25 ?

Oui, dans la très grande majorité des cas.

La Loi 25 s’applique à toute entreprise privée qui exerce des activités au Québec et qui recueille, utilise ou communique des renseignements personnels, sans aucun seuil minimal de taille ou de chiffre d’affaires. Si votre entreprise détient des informations sur des clients, des employés, des fournisseurs ou des abonnés, elle est assujettie.

C’est le premier mythe à dissiper : la Loi 25 ne vise pas uniquement les grandes entreprises ou les organisations technologiques. Un cabinet professionnel de quelques employés, une clinique, un commerce de détail, un restaurant ou un organisme à but non lucratif (OBNL) est tout autant concerné qu’une grande institution financière.

La différence ne réside pas dans l’application de la loi, mais dans l’ampleur des mesures de conformité attendues. Celles-ci doivent être proportionnelles à la sensibilité des renseignements traités et au volume de données concerné.

Qu’est-ce qu’un renseignement personnel ?

Il s’agit de toute information qui permet d’identifier une personne physique, directement ou indirectement : nom, adresse courriel, numéro de téléphone, adresse IP, dossier d’employé, historique d’achats. Les données sensibles (renseignements sur la santé, informations financières, numéro d’assurance sociale, données biométriques) exigent un niveau de protection particulièrement élevé.

Quelles sont concrètement mes obligations en vertu de la Loi 25 ?

La Loi 25 impose plusieurs obligations concrètes aux entreprises. Les plus importantes touchent la responsabilité, le consentement, la gestion des incidents et la protection des transferts de données. Voici les principales exigences.

  1. Désigner un responsable de la protection des renseignements personnels (RPRP)

    Par défaut, ce rôle revient à la personne exerçant la plus haute autorité dans l’entreprise (généralement le dirigeant). Il peut être délégué à une autre personne. Le nom ou le titre du responsable ainsi que ses coordonnées doivent être publiés sur votre site web. Cette obligation est en vigueur depuis septembre 2022.

  2. Encadrer le consentement et assurer la transparence

    Vous devez informer les personnes concernées de manière claire sur les renseignements collectés, les fins poursuivies et les tiers avec qui ils peuvent être partagés. Le consentement doit être éclairé, libre et manifeste lorsque la loi l’exige. Par défaut, les paramètres de confidentialité doivent être configurés au niveau le plus protecteur.

  3. Tenir un registre des incidents de confidentialité

    Toute entreprise doit consigner tous les incidents de confidentialité, même ceux sans risque apparent. Ce registre doit être conservé pendant au moins cinq ans et transmis à la Commission d’accès à l’information (CAI) sur demande.

  4. Signaler les incidents présentant un risque de préjudice sérieux

    En cas d’incident susceptible de causer un préjudice sérieux, vous devez aviser la CAI et les personnes concernées avec diligence. La loi n’impose pas de délai fixe de 72 heures, contrairement à une idée répandue. Agir rapidement (idéalement dans les 72 heures) constitue toutefois une bonne pratique recommandée.

  5. Réaliser une évaluation des facteurs relatifs à la vie privée (EFVP)

    Une EFVP est obligatoire avant de communiquer des renseignements personnels à l’extérieur du Québec, ou dans le cadre de projets importants impliquant l’acquisition, le développement ou la refonte de systèmes de gestion de renseignements personnels.

Quelles amendes je risque en cas de non-conformité à la Loi 25 ?

La Loi 25 prévoit des sanctions significatives afin de renforcer la protection des renseignements personnels. Deux types de sanctions sont possibles :

  • Sanctions administratives pécuniaires : jusqu’à 10 millions de dollars ou 2 % du chiffre d’affaires mondial (le montant le plus élevé étant retenu).
  • Sanctions pénales : jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial (le montant le plus élevé étant retenu).

Ces montants maximaux concernent les cas les plus graves et les récidives. Dans la pratique, la Commission d’accès à l’information (CAI) tient compte de plusieurs facteurs lors de la détermination d’une sanction : la gravité du manquement, l’intention ou la négligence démontrée, la taille de l’entreprise, les mesures de conformité déjà mises en place et les efforts déployés pour corriger la situation.

Le message important pour les PME : l’objectif n’est pas de pénaliser systématiquement les entreprises, mais d’inciter à une réelle mise en conformité. Les contrôles de la CAI s’intensifient et l’improvisation expose à des risques réels. En 2023-2024, la CAI a reçu 444 déclarations d’incidents de confidentialité, soit une hausse de 469 % depuis l’entrée en vigueur de l’obligation (source : rapport annuel 2023-2024 de la CAI).

Au-delà des amendes, un incident mal géré peut entraîner des coûts indirects souvent plus élevés : interruption des activités, perte de confiance des clients, atteinte à la réputation et poursuites civiles possibles.

Par où commencer pour se conformer à la Loi 25 ?

La mise en conformité s’effectue par étapes logiques et prioritaires. Voici la séquence recommandée pour la plupart des PME :

  1. Désigner le responsable de la protection des renseignements personnels (RPRP)

    Il s’agit de la première obligation légale. Par défaut, ce rôle revient au dirigeant, mais il peut être délégué. Son nom ou titre et ses coordonnées doivent être publiés sur le site web.

  2. Réaliser l’inventaire des renseignements personnels

    Identifier quelles données vous détenez (clients, employés, fournisseurs), où elles sont stockées, qui y a accès et dans quel but. Cet inventaire constitue le fondement de toute la conformité.

  3. Mettre en place le registre des incidents de confidentialité

    Créer et maintenir un registre de tous les incidents, accompagné d’une procédure claire de réaction.

  4. Adopter des politiques et pratiques internes

    Rédiger ou mettre à jour vos politiques de confidentialité, de consentement, de conservation et de destruction sécurisée des données.

  5. Encadrer les transferts de données hors Québec

    Réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) avant tout transfert ou communication de renseignements personnels à l’extérieur de la province, ou dans le cadre de projets majeurs.

La principale difficulté pour les PME

Ce n’est pas tant de comprendre les obligations que de savoir où elles en sont réellement et par quoi commencer en priorité. C’est précisément l’objectif d’un diagnostic structuré.

Le Diagnostic 360 : une première étape concrète

Notre Diagnostic 360 évalue votre posture actuelle par rapport à la Loi 25, en tenant compte de vos trois dettes (technique, architecturale et managériale). Vous obtenez un portrait clair de votre situation, une priorisation des risques et un plan d’action réaliste et adapté à la taille de votre entreprise. C’est la manière la plus efficace de transformer une obligation réglementaire en un projet maîtrisé et progressif.

Réserver un Diagnostic 360 →