Loi 25 au Québec : ce que les PME doivent savoir en 2026
La Loi 25 est entrée en vigueur progressivement depuis septembre 2022. En 2026, toutes les obligations sont en place. Pourtant, beaucoup de PME n'ont rien changé.
Voici ce que la loi exige réellement, ce qui est prioritaire, et comment avancer sans se perdre dans la paperasse.
Ce que la Loi 25 change pour les entreprises au Québec
Contexte et calendrier d'entrée en vigueur
La Loi 25 — officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (LQ 2021, chapitre 25) — a été adoptée en septembre 2021 par l'Assemblée nationale du Québec. Elle modifie principalement la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur l'accès aux documents des organismes publics.
Son entrée en vigueur s'est faite en trois phases : septembre 2022 (premières obligations), septembre 2023 (obligations principales), et septembre 2024 (dernières dispositions, incluant le droit à la portabilité des données). En 2026, l'ensemble des obligations est en vigueur.
À qui la loi s'applique
À toute entreprise qui collecte, utilise, communique ou conserve des renseignements personnels au Québec. Ça inclut pratiquement toutes les entreprises : noms de clients, adresses courriel, numéros de téléphone, informations de paiement, données d'employés. La loi s'applique peu importe la taille de l'entreprise — il n'y a pas d'exemption pour les PME.
Les obligations concrètes pour une PME
Nommer un responsable de la protection des renseignements personnels
La loi exige qu'une personne soit formellement responsable de la protection des renseignements personnels dans l'entreprise. Par défaut, c'est la personne ayant la plus haute autorité — donc le dirigeant. Cette responsabilité peut être déléguée par écrit à une autre personne, mais le dirigeant reste ultimement responsable.
Pour une PME, c'est souvent le dirigeant ou un directeur qui assume ce rôle. Il n'est pas nécessaire d'embaucher quelqu'un pour ça — il faut que le rôle soit clairement assigné et documenté.
Publier une politique de confidentialité
L'entreprise doit publier une politique de confidentialité rédigée en termes simples et clairs. Cette politique doit être accessible (typiquement sur le site web) et décrire : quels renseignements vous collectez, pourquoi, comment vous les utilisez, combien de temps vous les conservez, et comment une personne peut exercer ses droits.
Tenir un registre des incidents de confidentialité
Tout incident de confidentialité — accès non autorisé, perte, vol, communication non autorisée de renseignements personnels — doit être consigné dans un registre. Ce registre doit être conservé pendant au minimum 5 ans.
Signaler les incidents présentant un risque sérieux
Si un incident de confidentialité présente un risque sérieux de préjudice, l'entreprise doit aviser la Commission d'accès à l'information du Québec (CAI) et les personnes concernées. L'avis doit être transmis avec diligence — la loi ne précise pas un délai fixe en heures, mais l'attente est que le signalement se fasse rapidement après la prise de connaissance de l'incident.
Réaliser une EFVP dans certains cas
Une évaluation des facteurs relatifs à la vie privée (EFVP) doit être réalisée avant certains projets : acquisition ou développement d'un système d'information impliquant des renseignements personnels, communication de renseignements personnels hors Québec, et tout projet qui soulève des enjeux importants en matière de vie privée.
Obtenir le consentement de façon conforme
Le consentement doit être libre, éclairé, donné à des fins spécifiques, et demandé de façon distincte pour chaque finalité. Les cases pré-cochées, les consentements enfouis dans des conditions générales, ou les consentements globaux ne sont plus conformes.
Ce que la loi ne dit pas (mais que les PME croient)
Non, la CAI ne fait pas de contrôles surprise chez les PME
La Commission d'accès à l'information n'a pas les ressources pour inspecter systématiquement les PME. Ses interventions sont principalement déclenchées par des plaintes ou des signalements d'incidents. Cela ne signifie pas que les obligations sont optionnelles — ça signifie que le risque est plus lié à un incident réel ou à une plainte qu'à un contrôle proactif.
Non, vous n'avez pas besoin d'un logiciel spécialisé pour commencer
Il existe des outils de gestion de la conformité, mais pour une PME, les premières étapes ne nécessitent aucun investissement technologique : nommer un responsable, publier une politique de confidentialité, documenter vos pratiques de collecte, mettre en place un registre d'incidents (un simple tableur suffit pour commencer).
Oui, la bonne foi et la démarche comptent
En cas de plainte ou d'incident, la CAI évalue si l'entreprise a fait preuve de diligence. Une PME qui peut démontrer qu'elle a mis en place des mesures raisonnables, même imparfaites, sera dans une meilleure position qu'une PME qui n'a rien fait du tout. La démarche est aussi importante que le résultat.
Les liens entre Loi 25 et cybersécurité
La Loi 25 exige que les entreprises prennent des « mesures de sécurité propres à assurer la protection des renseignements personnels ». La loi ne prescrit pas de mesures techniques spécifiques — elle impose une obligation de moyens raisonnables proportionnés à la sensibilité des données et au contexte de l'entreprise.
Un diagnostic de vulnérabilité ou un audit de cybersécurité démontre concrètement que vous prenez des mesures pour protéger les renseignements personnels que vous détenez. Le rapport d'audit ou de diagnostic devient une preuve documentée de votre diligence.
À l'inverse, si un incident survient et que l'entreprise n'a jamais évalué sa posture de sécurité, n'a aucune mesure documentée, et n'a fait aucun effort identifiable, sa position sera beaucoup plus difficile à défendre.
Erreurs fréquentes
Copier-coller une politique de confidentialité générique. Une politique trouvée sur Internet qui ne reflète pas vos pratiques réelles de collecte et d'utilisation ne vous protège pas. La politique doit correspondre à ce que vous faites réellement.
Croire que la loi ne s'applique pas aux petites entreprises. Il n'y a aucun seuil de taille. Dès que vous collectez des renseignements personnels — un nom, un courriel, un numéro de téléphone — la loi s'applique.
Confondre conformité RGPD et Loi 25. Le RGPD (Règlement général sur la protection des données de l'Union européenne) et la Loi 25 partagent des principes communs, mais ce sont des lois distinctes avec des exigences différentes. Être conforme au RGPD ne garantit pas la conformité à la Loi 25, et inversement.
Ce qu'il faut faire maintenant
Nommez un responsable. Si ce n'est pas fait, identifiez formellement qui est responsable de la protection des renseignements personnels dans votre entreprise. Par défaut, c'est le dirigeant.
Publiez une politique de confidentialité. Si votre site web n'en a pas, c'est une lacune visible. Rédigez une politique qui reflète vos pratiques réelles : quoi vous collectez, pourquoi, comment, et combien de temps vous le conservez.
Documentez vos pratiques de collecte. Faites l'inventaire : quels renseignements personnels collectez-vous ? Où les stockez-vous ? Qui y a accès ? Combien de temps les conservez-vous ? Cet inventaire est la base de toute démarche de conformité.
Questions fréquentes
Quelles sont les amendes possibles ? Les sanctions administratives pécuniaires peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial pour les entreprises. Les sanctions pénales peuvent aller jusqu'à 25 millions de dollars. En pratique, la CAI n'a pas encore imposé de sanctions majeures aux PME, mais les obligations sont en vigueur.
Est-ce que la Loi 25 est la même chose que le RGPD ? Non. Ce sont deux lois distinctes. Elles partagent des principes communs (consentement, transparence, droit d'accès), mais les exigences spécifiques, les autorités de surveillance et les mécanismes de sanction sont différents.
On n'a rien fait jusqu'ici — c'est trop tard ? Non. Il vaut mieux se mettre en mouvement maintenant que d'attendre un incident ou une plainte. Les premières étapes (nommer un responsable, publier une politique, documenter vos pratiques) sont rapides et démontrent une démarche de bonne foi.