Depuis septembre 2023, toutes les entreprises québécoises — sans exception — sont légalement tenues de respecter les nouvelles obligations de la Loi 25. Pourtant, la majorité des PME n'ont toujours pas pris les mesures minimales requises. Voici ce que vous devez savoir, et comment agir avant d'être dans la mire de la Commission d'accès à l'information (CAI).
Qu'est-ce que la Loi 25 ?
La Loi 25 (officiellement : Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est venue moderniser la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) du Québec. Adoptée en 2021, elle est entrée en vigueur progressivement sur trois ans.
Elle s'applique à toute entreprise québécoise qui recueille, conserve, utilise ou communique des renseignements personnels — qu'il s'agisse d'une multinationale ou d'une PME de 5 employés.
Tout renseignement qui concerne une personne physique et permet de l'identifier directement ou indirectement : nom, courriel, adresse, numéro de téléphone, données de localisation, informations financières, données biométriques, etc.
Les 5 obligations principales pour les PME
Depuis septembre 2022. Le RPRP est le dirigeant principal par défaut, mais peut être délégué. Son identité doit être publiée sur votre site web. Le RPRP est responsable de la conformité de l'entreprise à la Loi 25.
Depuis septembre 2022. Tout incident (fuite, accès non autorisé, vol de données) présentant un risque sérieux de préjudice doit être déclaré à la CAI et aux personnes concernées dans les 72 heures.
Depuis septembre 2023. Toute collecte, communication ou utilisation importante de renseignements personnels dans un nouveau projet exige une Évaluation des facteurs relatifs à la vie privée (EFVP) avant le déploiement.
Depuis septembre 2023. Votre politique de confidentialité doit être claire, accessible et indiquer les finalités de collecte. Le consentement doit être explicite pour les données sensibles. Les témoins (cookies) nécessitent un consentement approprié.
Depuis septembre 2023. Les personnes ont le droit d'accéder à leurs données, de les corriger, de les faire supprimer (droit à l'oubli) et d'en demander la portabilité. L'entreprise doit avoir des processus pour répondre à ces demandes.
Les sanctions : jusqu'à 25 M$ ou 4% du CA
- Jusqu'à 25 M$ ou 4% du chiffre d'affaires mondial (le plus élevé)
- Sanctions administratives : jusqu'à 10 M$ ou 2% du CA
- Dommages-intérêts punitifs : jusqu'à 1 000 $ par personne pour violation présumée
- Ordonnances de correction et sanctions discrétionnaires
Checklist de conformité Loi 25 pour les PME
Voici les 12 actions prioritaires à mettre en place :
Pas sûr de votre niveau de conformité ?
Synéra réalise des audits Loi 25 complets pour les PME québécoises : inventaire des données, évaluation des lacunes, plan de conformité et accompagnement à la mise en œuvre.
Sources : Commission d'accès à l'information du Québec (CAI) · Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (L.Q. 2021, c. 25) · Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP)