La Loi 25 — la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — est pleinement en vigueur depuis septembre 2023. Pourtant, lors de nos mandats de conformité auprès de PME québécoises en 2024 et 2025, nous constatons que la grande majorité a des lacunes importantes, souvent sans le savoir.
Ce que la Loi 25 exige concrètement de votre entreprise
La loi s'applique à toute organisation qui collecte, utilise ou communique des renseignements personnels sur des résidents du Québec — ce qui inclut pratiquement toutes les PME. Voici les obligations principales :
- Désigner un responsable de la protection des renseignements personnels (RPRP) et publier ses coordonnées sur votre site web.
- Tenir un registre des incidents de confidentialité — tout incident doit être consigné, même s'il n'est pas jugé "grave".
- Notifier la Commission d'accès à l'information (CAI) dans les 72 heures suivant un incident impliquant un risque de préjudice sérieux.
- Publier une politique de confidentialité compréhensible, précisant comment vous collectez, utilisez et conservez les données.
- Obtenir un consentement valide et granulaire avant de collecter des renseignements personnels à des fins secondaires.
- Effectuer une évaluation des facteurs relatifs à la vie privée (EFVP) avant tout projet impliquant des renseignements personnels sensibles.
- Gérer les droits d'accès et de rectification — vous devez être en mesure de répondre à une demande d'accès dans les 30 jours.
Les lacunes que nous trouvons le plus souvent
Voici, sans hiérarchie, les problèmes que nous identifions dans presque tous les mandats de conformité Loi 25 :
- Aucun RPRP désigné formellement — le dirigeant "assume" le rôle sans formation ni procédures documentées.
- La politique de confidentialité est un copier-coller générique qui ne reflète pas la réalité des données traitées par l'entreprise.
- Les anciens employés ont encore accès aux systèmes — c'est à la fois un risque de conformité Loi 25 et un risque de sécurité critique.
- Aucun registre des fournisseurs ayant accès aux données personnelles — votre comptable en nuage, votre CRM, votre service d'envoi de courriels : tous doivent être documentés et encadrés par un accord de traitement.
- Pas de procédure de réponse aux demandes d'accès — si un client vous demande "quelles données avez-vous sur moi ?", savez-vous comment répondre en 30 jours ?
La liste de contrôle en 7 points
- Un RPRP identifié et formé, dont le nom et les coordonnées sont publiés.
- Un registre des traitements de renseignements personnels tenu à jour.
- Une politique de confidentialité spécifique à votre entreprise, publiée et datée.
- Un processus de notification d'incident à 72 heures avec formulaire CAI prêt à remplir.
- Des accords de traitement (DPA) signés avec tous vos fournisseurs traitant des données personnelles.
- Un processus de gestion des droits d'accès documenté avec délais de réponse.
- Une EFVP réalisée pour chaque nouveau projet impliquant des données sensibles.
Par où commencer si vous êtes en retard
Notre programme de conformité Loi 25 priorise d'abord les éléments à risque pénal élevé (désignation du RPRP, registre d'incidents, notification CAI) — ceux qui protègent votre organisation en cas d'incident survenant pendant le processus de mise en conformité. Les éléments plus structurels sont ensuite déployés sur 60 à 90 jours selon la complexité de votre environnement.