Loi 25 et politique de confidentialite : ce que chaque PME quebecoise doit savoir en 2026
Generateur politique de confidentialite gratuit
Conforme Loi 25. Personnalisee. Telechargeable en 2 minutes.
Depuis septembre 2023, avoir une politique de confidentialité accessible sur son site web n'est plus optionnel pour les entreprises québécoises qui collectent des renseignements personnels. La Loi 25 — dont le nom complet est Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — impose des obligations graduelles depuis 2022, avec les exigences les plus critiques maintenant pleinement en vigueur.
Les trois phases de mise en vigueur
Septembre 2022
Phase 1 — Incidents de confidentialité
- •Obligation de déclarer tout incident impliquant des renseignements personnels à la CAI
- •Notification aux personnes concernées si l'incident présente un risque de préjudice sérieux
- •Tenue d'un registre des incidents
Septembre 2023
Phase 2 — Politique et gouvernance
- •Publication obligatoire d'une politique de confidentialité sur le site web
- •Nomination d'un responsable de la protection des renseignements personnels (RPRP)
- •Règles de gouvernance pour la gestion des données personnelles
- •Évaluation des facteurs relatifs à la vie privée (ÉFVP) pour les nouveaux projets
Septembre 2024
Phase 3 — Droits renforcés et consentement
- •Droit à la portabilité des données (format structuré lisible par machine)
- •Droit à l'effacement (droit à l'oubli)
- •Consentement explicite pour l'utilisation à des fins secondaires
- •Profilage et décision automatisée : obligation d'information
Ce que doit contenir la politique de confidentialite
La Loi 25 ne prescrit pas un modèle unique, mais définit les éléments minimaux obligatoires. Une politique conforme doit traiter tous les points suivants :
Identification du RPRP
Nom ou titre, coordonnées (courriel au minimum)
Types de renseignements
Liste des données collectées par catégorie
Finalités de la collecte
Chaque usage des données doit être explicité
Communication à des tiers
Qui reçoit les données, dans quel pays
Durée de conservation
Période et critères de destruction
Droits des personnes
Accès, rectification, effacement, portabilité
Procédure de plainte
Comment exercer ses droits, délai de réponse
Temoins (cookies)
Types de cookies et contrôle de l'utilisateur
Amendes et sanctions
Sanctions administratives (CAI)
10 M$ ou 2 %
du chiffre d'affaires mondial de l'exercice précédent — le plus élevé des deux montants
Sanctions pénales (tribunal)
25 M$ ou 4 %
du chiffre d'affaires mondial — pour les violations graves ou récidivistes
Pour une PME dont le chiffre d'affaires est de 2 M$ par an, une sanction administrative de 2 % représente 40 000 $. Pour une entreprise à 20 M$, c'est 400 000 $. La Commission d'accès à l'information (CAI) dispose d'un pouvoir d'enquête et de vérification, et a déjà émis ses premières mises en demeure depuis 2023.
La Loi 25 s'applique-t-elle a votre PME ?
Oui, si vous répondez à un seul des critères suivants :
- →Vous avez un site web qui collecte des adresses courriel (newsletter, formulaire de contact)
- →Vous utilisez Google Analytics, Meta Pixel, ou tout autre outil de suivi de visiteurs
- →Vous vendez en ligne et collectez des informations de paiement ou de livraison
- →Vous gérez une liste de clients avec des coordonnées personnelles
- →Vous employez des personnes au Québec (données RH)
En pratique, il est très difficile pour une entreprise moderne d'éviter de collecter des renseignements personnels. La Loi 25 s'applique même aux très petites entreprises (TPE) et aux travailleurs autonomes qui maintiennent une liste de clients.
Plan d'action en 5 etapes pour se conformer
Nommer un RPRP
Désignez une personne responsable de la protection (peut être le dirigeant dans une petite équipe). Publiez ses coordonnées.
Cartographier vos données
Listez tous les renseignements collectés, leur source, leur utilisation, et les tiers qui y ont accès.
Rédiger et publier la politique
Couvrez les 8 éléments obligatoires. Publiez en pied de page de votre site, accessible depuis chaque page.
Auditer vos cookies et formulaires
Vérifiez que chaque cookie est déclaré, que les formulaires expliquent pourquoi l'adresse courriel est demandée.
Établir une procédure d'incident
Définissez qui est notifié en cas de fuite, qui contacte la CAI, et comment documenter l'incident dans votre registre.
RPRP + surveillance continue avec l'IA
La Loi 25 impose une gouvernance continue — pas un document écrit une fois et oublié. Le rôle du responsable inclut : mettre à jour la politique lorsque les pratiques changent, surveiller les demandes d'exercice de droits, maintenir le registre des incidents, et s'assurer que les nouveaux fournisseurs sont conformes.
L'agent SENTINELLE de MonIAaMoi automatise cette surveillance : alertes automatiques si une page du site ne contient plus de lien vers la politique, détection de nouveaux cookies non déclarés, rapport mensuel de conformité et suivi des demandes de droits reçues par courriel.