Loi 25 du Québec · Gatineau & Ottawa

Conformité à la Loi 25 pour les PME de Gatineau et d’Ottawa

Depuis septembre 2023, toute entreprise du Québec qui détient des renseignements personnels a de nouvelles obligations en vertu de la Loi 25. Nous les rendons concrètes : désignation de votre responsable de la protection des renseignements personnels, rédaction de la gouvernance, réalisation des EFVP et mise en place de la déclaration des incidents. Mené en français comme en anglais, par une firme d’ici.

La Loi 25 (anciennement projet de loi 64) a modernisé la loi québécoise sur la protection des renseignements personnels dans le secteur privé, avec une entrée en vigueur échelonnée de 2022 à 2024. Les obligations centrales arrivées en septembre 2023 visent les organisations de toutes tailles — y compris les PME de l’Outaouais et de la région de la capitale nationale qui n’ont pas d’équipe de protection des renseignements personnels à temps plein pour les absorber.

La loi repose sur des principes plutôt que sur une simple liste à cocher, et c’est précisément ce qui désarçonne les plus petites entreprises : il vous faut une personne responsable nommée, une gouvernance écrite, une façon d’évaluer le risque pour la vie privée avant de lancer un projet, et un processus éprouvé pour le jour où survient un incident de confidentialité. Nous transformons ces exigences en un plan court et priorisé — et, si vous le souhaitez, nous demeurons votre bureau de la protection des renseignements personnels en impartition pour que tout continue de fonctionner une fois les documents signés.

Parce que nous sommes une entreprise canadienne et que les données de nos clients restent au Canada (Azure Canada Central/Est, AWS ca-central-1), nous pouvons aussi vous aider à répondre aux questions de transfert hors Québec et de souveraineté des données que la Loi 25 vous oblige désormais à vous poser avant de communiquer des renseignements personnels à l’extérieur du Québec.

En vigueur depuis Obligation Ce que ça veut dire pour vous
Septembre 2022Responsable désigné (RPRP) et incidents de confidentialitéDésigner la personne responsable et publier son titre et ses coordonnées; évaluer les incidents, tenir un registre et aviser la Commission d’accès à l’information et les personnes touchées en cas de risque de préjudice sérieux.
Septembre 2023La vague centrale : gouvernance, EFVP, consentement, transparencePolitiques écrites et publiées, évaluations des facteurs relatifs à la vie privée (y compris avant tout transfert hors Québec), règles de consentement plus strictes, transparence au moment de la collecte, droit à la désindexation — et l’entrée en vigueur des sanctions.
Septembre 2024Portabilité des donnéesToute personne peut demander ses renseignements personnels informatisés dans un format technologique structuré et couramment utilisé.
Ce que nous faisons

La conformité à la Loi 25, rendue concrète

Responsable de la protection (RPRP)

La loi exige une personne responsable de la protection des renseignements personnels. Nous vous aidons à désigner un RPRP et à publier son rôle — ou nous agissons comme votre RPRP en impartition.

Évaluation des facteurs relatifs à la vie privée (EFVP)

La Loi 25 exige une évaluation des facteurs relatifs à la vie privée avant d’acquérir un système qui traite des renseignements personnels ou de les communiquer hors Québec. Nous menons l’EFVP, documentons les risques et recommandons les mesures d’atténuation.

Politiques de gouvernance

Nous rédigeons la gouvernance attendue par la Loi 25 : politiques et pratiques internes encadrant les renseignements personnels, calendriers de conservation et de destruction, et la politique de confidentialité publique que vos clients comprennent vraiment.

Déclaration des incidents & registre

Lorsqu’un incident de confidentialité présente un risque de préjudice sérieux, vous devez aviser la Commission d’accès à l’information et les personnes concernées — et tenir un registre des incidents. Nous bâtissons le processus, les gabarits et le registre avant que vous en ayez besoin.

Consentement & droits des personnes

Consentement clair, transparence au moment de la collecte et nouveaux droits : accès, rectification, désindexation et portabilité des données. Nous cartographions votre collecte et votre utilisation des renseignements personnels, puis corrigeons les écarts en langage clair.

Transferts hors Québec & résidence des données

Avant que des renseignements personnels quittent le Québec, ils doivent faire l’objet d’une évaluation. Entreprise canadienne qui conserve les données au Canada (Azure Canada Central/Est, AWS ca-central-1), nous vous aidons à évaluer les transferts et à privilégier des options qui gardent vos données ici.

FAQ

Questions fréquentes

La Loi 25 s’applique-t-elle aux petites entreprises?

Oui. La Loi 25 vise pratiquement toute entreprise du secteur privé au Québec qui recueille, détient ou utilise des renseignements personnels, peu importe sa taille — il n’y a pas d’exemption selon le nombre d’employés. Les obligations centrales sont en vigueur depuis septembre 2023 — et la première vague, dont la désignation d’un responsable et la déclaration des incidents de confidentialité présentant un risque sérieux, l’est depuis septembre 2022. Les plus petites entreprises doivent simplement adapter l’effort à leur taille, et c’est précisément ce que nous faisons.

Quelles sont les amendes en cas de non-conformité à la Loi 25?

La Loi 25 prévoit parmi les sanctions les plus sévères au Canada en matière de vie privée. La Commission d’accès à l’information peut imposer des sanctions administratives pécuniaires pouvant atteindre 10 M$ ou 2 % du chiffre d’affaires mondial, et les amendes pénales peuvent atteindre 25 M$ ou 4 % du chiffre d’affaires mondial pour les infractions les plus graves — le montant le plus élevé s’appliquant. La loi a aussi créé un droit privé d’action en dommages-intérêts. Pour une PME, le risque concret est généralement une plainte ou un incident déclaré qui révèle l’absence de gouvernance — d’où l’importance d’avoir les bases en place.

Qu’est-ce qu’une EFVP et en avons-nous besoin?

Une EFVP — évaluation des facteurs relatifs à la vie privée — est un examen structuré des risques pour la vie privée d’un projet. En vertu de la Loi 25, vous devez en réaliser une avant d’acquérir, de développer ou de refondre un système d’information qui traite des renseignements personnels, et avant de communiquer des renseignements personnels à l’extérieur du Québec. Nous menons l’EFVP, documentons les risques de façon proportionnée au projet et vous remettons les mesures d’atténuation ainsi que la trace à conserver au dossier.

Pouvez-vous agir comme notre responsable de la protection des renseignements personnels (RPRP)?

Oui. Si vous préférez ne pas attribuer ce rôle à l’interne, nous pouvons agir comme votre responsable de la protection des renseignements personnels (RPRP) en impartition — traitement des demandes, évaluation des incidents, tenue du registre et gouvernance continue. Ce service s’arrime naturellement à notre RSSI virtuel : un leadership en vie privée et en sécurité à une fraction du coût d’une embauche à temps plein, en français comme en anglais.

Combien coûte la conformité à la Loi 25 pour une PME?

Il n’y a pas de tarif unique — le coût dépend de la taille de votre organisation, du volume et de la sensibilité des renseignements personnels que vous détenez, de la maturité de votre gouvernance actuelle et du choix de confier ou non le rôle de RPRP en impartition. Une PME qui a déjà des politiques et un responsable désigné a beaucoup moins de chemin à faire qu’une entreprise qui part de zéro. Nous commençons par une courte analyse d’écarts pour cadrer le travail, puis nous remettons un prix forfaitaire clair, sans surprise, adapté à votre réalité.

Existe-t-il de l’aide financière pour la conformité à la Loi 25?

Du soutien subventionné en cybersécurité et en conformité à la Loi 25 a été offert aux PME québécoises par l’entremise du réseau des centres collégiaux de transfert technologique (CCTT) — par exemple CyberQuébec, rattaché au Cégep de l’Outaouais et financé par le gouvernement du Québec. Les programmes précis évoluent (le programme MaLoi25, par exemple, a pris fin en 2025); nous vous aidons donc à repérer l’aide actuellement disponible et à vérifier votre admissibilité, puis nous réalisons le travail de conformité lui-même — EFVP, gouvernance et RPRP.

Vous ne savez pas où vous en êtes avec la Loi 25?

Commençons par une courte analyse d’écarts Loi 25 et un plan clair et priorisé, adapté à votre entreprise.

Nous joindre