Rendre ton site conforme a la Loi 25 en 30 minutes

12 min de lecture -- Legal -- Intermediaire

Amendes possibles : jusqu'a 25M$ ou 4% du chiffre d'affaires mondial. La Commission d'acces a l'information (CAI) applique activement la loi depuis 2024.

C'est quoi la Loi 25?

La Loi modernisant des dispositions legislatives en matiere de protection des renseignements personnels (Loi 25) est la loi quebecoise sur la vie privee. Adoptee en 2021, elle est pleinement en vigueur depuis septembre 2024. Elle s'applique a TOUTE entreprise qui collecte des renseignements personnels au Quebec -- meme les solopreneurs.

La Loi 25 est souvent comparee au RGPD europeen, mais avec des particularites quebecoises. Les amendes sont reelles : en 2025, la CAI a emis ses premieres sanctions significatives contre des PME quebecoises non conformes. Ce n'est pas une loi theorique -- elle est activement appliquee.

Qui est concerne?

Toute personne ou entreprise qui collecte, utilise, ou communique des renseignements personnels au Quebec. Cela inclut :

Les PME et solopreneurs (meme sans site web -- une liste de clients suffit)
Les organismes a but non lucratif
Les entreprises hors Quebec qui collectent des donnees de residents quebecois
Les plateformes SaaS qui traitent des donnees pour des clients quebecois

Si tu as un formulaire de contact, une infolettre, un CRM, ou un systeme de paiement, tu es concerne. Il n'y a pas d'exemption pour la taille de l'entreprise.

Checklist : 12 points a verifier

Politique de confidentialiteobligatoire

Claire, accessible, en francais. Doit expliquer quelles donnees tu collectes, pourquoi, et combien de temps tu les gardes.

Consentement expliciteobligatoire

Avant TOUTE collecte. Pas de cases pre-cochees. Le silence ne vaut pas consentement.

Droit d'accesobligatoire

L'utilisateur peut demander a voir ses donnees. Tu as 30 jours pour repondre.

Droit de rectification

L'utilisateur peut demander a corriger ses donnees inexactes.

Droit a la portabiliteobligatoire

Depuis septembre 2024: l'utilisateur peut demander ses donnees dans un format lisible par machine.

Responsable (RPRP)obligatoire

Tu dois designer un responsable de la protection des renseignements personnels. Par defaut, c'est le dirigeant.

EFVP pour projets IAobligatoire

Evaluation des facteurs relatifs a la vie privee OBLIGATOIRE pour tout projet utilisant de l'IA ou du profilage.

Notification de fuiteobligatoire

En cas de fuite, tu dois notifier la CAI et les personnes touchees dans les 72 heures.

Conservation limitee

Tu ne peux pas garder les donnees indefiniment. Definis une duree et justifie-la.

Transfert hors Quebecobligatoire

Tout transfert de donnees hors Quebec doit etre encadre par un contrat garantissant une protection equivalente.

Decisions automatiseesobligatoire

Si tu utilises de l'IA pour prendre des decisions (profilage, scoring), tu dois informer l'utilisateur et lui permettre de contester.

Registre des incidents

Tu dois tenir un registre de tous les incidents de confidentialite, meme ceux non declares a la CAI.

Les erreurs les plus courantes des PME

Apres avoir audite des dizaines de sites web de PME quebecoises, voici les 5 erreurs les plus frequentes :

Politique de confidentialite copiee-collee d'un site americain -- Elle ne mentionne ni la Loi 25, ni la CAI, ni les droits specifiques au Quebec. Invalide.
Google Analytics sans consentement -- GA4 collecte des donnees personnelles (adresse IP, comportement). Le bandeau "Ce site utilise des cookies" sans option de refus ne suffit pas.
Formulaires sans mention de finalite -- "Inscris-toi a notre infolettre" sans dire a quoi servent les donnees ni combien de temps tu les gardes.
Pas de RPRP designe -- Par defaut c'est le dirigeant, mais tu dois le publier sur ton site avec ses coordonnees.
Donnees hebergees aux Etats-Unis sans contrat -- Shopify, Mailchimp, Google Workspace : si tes donnees traversent la frontiere, tu as besoin d'un contrat garantissant une protection equivalente.

L'impact de l'IA sur la conformite Loi 25

L'article 12.1 de la Loi 25 est specifique aux decisions automatisees et a l'IA. Si tu utilises un chatbot, un systeme de scoring, ou un agent IA qui prend des decisions basees sur des donnees personnelles, tu dois :

Informer l'utilisateur qu'une decision automatisee a ete prise
Expliquer les raisons de la decision
Permettre a l'utilisateur de contester et demander une revision humaine
Realiser une EFVP (evaluation des facteurs relatifs a la vie privee)

C'est pour cette raison que les agents MonIAaMoi sont conçus avec la transparence au coeur : chaque decision est tracable, chaque donnee est chiffree, et les donnees restent au Quebec. MonIAaMoi est conforme Loi 25 nativement, ce qui signifie que tes agents IA heritent de cette conformite.

Comment MonIAaMoi t'aide

L'agent Justice de MonIAaMoi peut auditer ton site en quelques minutes. Il verifie les 12 points, genere un rapport avec score, et te propose un modele de politique de confidentialite adapte a ton activite.

Concretement, l'agent Justice :

Scanne ton site et identifie les formulaires de collecte de donnees
Verifie si ta politique de confidentialite couvre les 12 obligations
Genere un rapport score avec les points conformes et non conformes
Propose un modele de politique adapte a ton secteur d'activite
Identifie les services tiers (analytics, paiement, CRM) et leur localisation

Tu peux aussi utiliser l'agent Fiscal pour comprendre les implications fiscales de la conformite (frais de consultation juridique deductibles, investissements en securite informatique). Et le Cost Optimizer t'aide a controler le cout de ces audits automatises.

Pourquoi la souverainete des donnees est un avantage concurrentiel

Les consommateurs quebecois sont de plus en plus sensibles a la protection de leurs donnees. Afficher "Donnees hebergees au Quebec, conformes Loi 25" sur ton site est un argument de vente. C'est un differentiant reel par rapport a des concurrents qui utilisent des serveurs americains.

MonIAaMoi a fait ce choix des le premier jour. Toutes les donnees sont stockees au Quebec, chiffrees en AES-256, et jamais partagees avec des tiers. C'est aussi la philosophie derriere notre architecture multi-LLM zero dependance : aucun fournisseur unique ne controle tes donnees.

Questions frequentes

Est-ce que la Loi 25 s'applique a mon blog personnel?

Si ton blog collecte des donnees personnelles (commentaires avec email, infolettre, Google Analytics), oui. Si c'est un site purement statique sans formulaire ni analytics, non.

Combien coute la conformite?

Un avocat specialise facture entre 2 000$ et 10 000$ pour un audit complet et la redaction des politiques. L'agent Justice de MonIAaMoi fait un pre-audit en 2 minutes pour une fraction du cout -- dans le plan Souverain a 8,88$/mois. Ca ne remplace pas l'avocat, mais ca te prepare avant la consultation.

Et si j'utilise ChatGPT pour mon business?

Si tu envoies des donnees clients a ChatGPT (heberge aux Etats-Unis par OpenAI), tu effectues un transfert de donnees hors Quebec. Tu as besoin d'un contrat de transfert et d'informer tes clients. Avec MonIAaMoi, ce probleme n'existe pas -- tout reste au Quebec. Voir aussi notre guide sur l'automatisation comptable pour comprendre comment gerer des donnees financieres sensibles en conformite.

Fais ton audit maintenant

L'agent Justice est disponible dans le plan Souverain. Ton audit est genere en 2 minutes.

Creer mon compte gratuit

Ce guide est informatif et ne constitue pas un avis juridique. Pour une conformite complete, consulte un avocat specialise en protection des renseignements personnels.

Guides