La Loi 25, c’est quoi pour une PME?
La Loi 25 vise pratiquement toute entreprise privée du Québec, peu importe sa taille. Voici, en langage clair, ce qu’elle exige vraiment.
Concrètement
Si vous exploitez une entreprise au Québec et détenez des renseignements personnels, la Loi 25 s’applique déjà à vous. La suite de l’article entre dans le détail; voici l’essentiel.
- La loi vise pratiquement toute entreprise privée du Québec, peu importe sa taille — aucune exemption pour les plus petites.
- Tout est en vigueur : la première vague s’applique depuis septembre 2022, les obligations centrales depuis septembre 2023.
- Les sanctions sont réelles — jusqu’à 10 M$ ou 2 % du chiffre d’affaires mondial en sanctions administratives, et jusqu’à 25 M$ ou 4 % en amendes pénales.
La Loi 25 s’applique-t-elle à mon entreprise?
Presque assurément, oui. La Loi 25 (anciennement le projet de loi 64) vise pratiquement toute entreprise du secteur privé au Québec qui recueille, détient ou utilise des renseignements personnels, peu importe sa taille. Il n’y a pas d’exemption selon le nombre d’employés : une firme de cinq personnes à Gatineau est assujettie aux mêmes obligations centrales qu’une grande entreprise, à l’échelle de sa réalité.
La loi a modernisé le régime québécois de protection des renseignements personnels dans le secteur privé, avec une entrée en vigueur échelonnée de 2022 à 2024. Les obligations qui comptent le plus pour une PME sont arrivées en septembre 2023 et sont pleinement en vigueur aujourd’hui : ce n’est donc pas une échéance future à planifier. Si vous conservez des listes de clients, des dossiers d’employés, des fiches clients ou toute donnée permettant d’identifier une personne, la loi vous concerne.
Ce qui désarçonne les plus petites entreprises, c’est que la Loi 25 repose sur des principes, pas sur une liste à cocher. Elle ne vous remet pas une série de tâches toutes prêtes; elle fixe des résultats à atteindre. Connaître les obligations derrière ces principes, c’est la première étape vers un plan réaliste.
Quelles sont les exigences centrales de la Loi 25 pour une petite entreprise?
D’abord, vous devez nommer formellement une personne responsable de la protection des renseignements personnels — le RPRP — et publier son titre ainsi que ses coordonnées pour que le public puisse la joindre. Deuxièmement, il vous faut une gouvernance écrite : des politiques internes encadrant les renseignements personnels, des calendriers de conservation et de destruction, et une politique de confidentialité publique rédigée dans une langue que vos clients comprennent vraiment.
Troisièmement, vous devez réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) avant d’acquérir, de développer ou de refondre un système qui traite des renseignements personnels, et avant de communiquer des renseignements personnels à l’extérieur du Québec. Quatrièmement, lorsqu’un incident de confidentialité présente un risque de préjudice sérieux, vous devez aviser la Commission d’accès à l’information et les personnes concernées — et tenir un registre des incidents, qu’ils soient déclarables ou non.
Cinquièmement, vous devez obtenir un consentement clair, libre et éclairé, demandé pour chaque fin précise, et respecter les droits que la loi a créés : accès, rectification, désindexation et portabilité des données. Ces cinq obligations forment l’ossature de la Loi 25 pour une petite entreprise.
Par où commencer concrètement?
Commencez par désigner votre RPRP et publier son rôle. C’est l’obligation que la loi énonce le plus clairement, elle se règle vite, et elle donne à chaque étape suivante un responsable bien identifié. Si vous préférez ne pas confier ce rôle à quelqu’un à l’interne, il peut être imparti.
Ensuite, cartographiez les renseignements personnels que vous détenez : ce que vous recueillez, pourquoi, où ils se trouvent et qui peut y accéder. Cet inventaire est ce sur quoi tout le reste repose — impossible de rédiger une gouvernance honnête, d’évaluer un transfert ou de gérer un incident si vous ignorez quelles données vous avez. De là, rédigez les documents de gouvernance — pratiques internes, conservation et destruction, politique de confidentialité publique — et bâtissez le processus d’incident avant d’en avoir besoin : le chemin de notification, les gabarits, le registre.
Travaillez dans cet ordre — responsable, inventaire, gouvernance, processus d’incident — et une loi fondée sur des principes devient un plan court et priorisé. Si vous voulez d’abord savoir où vous en êtes, notre bilan gratuit de deux minutes passe à travers dix des obligations centrales et vous donne un pointage et des prochaines étapes. Rien n’est enregistré ni transmis.
Et l’aide financière pour absorber les coûts?
Le programme dont on nous parle le plus, MaLoi25, a pris fin en 2025 : ce n’est donc plus une option. Nous le disons clairement, parce que la question revient encore souvent.
Plus largement, du soutien subventionné en cybersécurité et en conformité à la Loi 25 a été offert aux PME québécoises par le réseau des centres collégiaux de transfert technologique (CCTT) — CyberQuébec, rattaché au Cégep de l’Outaouais et financé par le gouvernement du Québec, en est un exemple. Ces programmes vont et viennent; vérifiez donc ce qui est réellement ouvert et votre admissibilité avant de miser sur une subvention précise.
Quoi qu’il en soit, les étapes de base — nommer un responsable, publier une politique claire, bâtir un inventaire des données — sont des gains rapides qui ne dépendent d’aucun financement. L’aide financière, quand elle existe, sert aux travaux plus profonds. Elle ne devrait pas être la raison qui vous fait reporter les bases. Et si vous êtes de la région, notre accompagnement Loi 25 en Outaouais se fait sur place, en français.
Où en est la Loi 25 en 2026?
Toutes les vagues de la Loi 25 sont maintenant en vigueur. Les obligations de septembre 2022 sont arrivées en premier — un responsable de la protection des renseignements personnels désigné et la déclaration des incidents de confidentialité présentant un risque de préjudice sérieux. La vague centrale a suivi en septembre 2023, avec la gouvernance écrite, les EFVP, des règles de consentement plus strictes et le régime de sanctions; la portabilité des données, dernier morceau, est entrée en vigueur en septembre 2024. Il ne reste plus rien à échelonner.
Ça change la question de fond. Pendant des années, on pouvait honnêtement répondre « on s’y met » quand on demandait « êtes-vous conformes? » — la loi elle-même arrivait par étapes. En 2026, ce discours ne tient plus : la Commission d’accès à l’information peut imposer des sanctions administratives pouvant atteindre 10 M$ ou 2 % du chiffre d’affaires mondial, les amendes pénales grimpent jusqu’à 25 M$ ou 4 %, et les personnes disposent d’un droit privé d’action. Pour une PME, le risque concret n’est pas un inspecteur qui cogne à la porte : c’est une plainte ou un incident déclaré qui révèle une gouvernance jamais mise en place.
Questions fréquentes
La Loi 25 s’applique-t-elle vraiment à une petite entreprise?
Oui. La Loi 25 vise pratiquement toute entreprise du secteur privé au Québec qui recueille, détient ou utilise des renseignements personnels, peu importe sa taille — il n’y a pas d’exemption selon le nombre d’employés. Les obligations centrales sont en vigueur depuis septembre 2023 — et la première vague, dont la désignation d’un responsable et la déclaration des incidents de confidentialité présentant un risque sérieux, l’est depuis septembre 2022. Les plus petites entreprises doivent simplement adapter l’effort à leur taille.
Quelles sont les amendes en cas de non-conformité?
La Loi 25 prévoit parmi les sanctions les plus sévères au Canada en matière de vie privée, et la loi a aussi créé un droit privé d’action en dommages-intérêts. Pour une PME, le risque concret est généralement une plainte ou un incident déclaré qui révèle l’absence de gouvernance — d’où l’importance d’avoir les bases en place. Notre page de service sur la Loi 25 détaille les montants précis des sanctions.
Qu’est-ce qu’une EFVP et en avons-nous besoin?
Une EFVP — évaluation des facteurs relatifs à la vie privée — est un examen structuré des risques pour la vie privée d’un projet. En vertu de la Loi 25, vous devez en réaliser une avant d’acquérir, de développer ou de refondre un système d’information qui traite des renseignements personnels, et avant de communiquer des renseignements personnels à l’extérieur du Québec. L’évaluation s’ajuste au projet : une petite initiative justifie un examen proportionné et documenté, pas un rapport lourd.
Quelqu’un peut-il agir comme notre RPRP à notre place?
Oui. Si vous préférez ne pas attribuer ce rôle à l’interne, la fonction de responsable de la protection des renseignements personnels peut être impartie — traitement des demandes, évaluation des incidents, tenue du registre et gouvernance continue. Pour une petite entreprise sans équipe de protection des renseignements personnels à temps plein, vous obtenez ainsi un RPRP nommé et imputable à une fraction du coût d’une embauche à temps plein, en français comme en anglais.
SOC 2 ou ISO 27001 pour une PME?
Deux attestations de sécurité, des clientèles différentes. Comment choisir la bonne pour une PME.
Combien coûte un test d’intrusion au Québec?
Les fourchettes réelles par type de test, ce qui fait varier le prix — et les pièges des soumissions trop basses pour être vraies.
Où en êtes-vous avec la Loi 25?
Faites le bilan gratuit en 2 minutes, ou parlez à une firme d’ici — bilingue, à Gatineau et Ottawa.