Quand j'ai commencé à parler de la Loi 25 autour de moi, j'ai réalisé quelque chose qui m'a frappé : presque tous les propriétaires de PME québécois que je rencontrais savaient que la loi existait. Mais aucun ne savait par où commencer.
Un restaurateur de Montréal m'a dit : "J'ai cherché sur Google pendant 2 heures et j'étais encore plus confus qu'avant." Une massothérapeute de Laval : "Mon comptable m'a dit que je devais être conforme mais il ne savait pas m'expliquer comment." Un propriétaire d'une boutique en ligne : "J'ai cru que ça s'appliquait seulement aux grandes entreprises."
C'est exactement pour résoudre ce problème que j'ai créé Nexconform. Ce guide est ce que j'aurais voulu trouver quand j'ai commencé à m'intéresser à la Loi 25 — clair, pratique et sans jargon juridique inutile.
C'est quoi la Loi 25 ?
La Loi 25 — officiellement appelée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — est une loi québécoise qui oblige toutes les organisations à protéger les données personnelles de leurs clients et employés.
Elle est pleinement en vigueur depuis septembre 2023.
Ce que ça signifie concrètement pour vous :
- Vous avez une liste de clients → Loi 25 s'applique
- Vous avez des employés → Loi 25 s'applique
- Vous avez un site web avec Google Analytics → Loi 25 s'applique
- Vous êtes travailleur autonome → Loi 25 s'applique
La loi ne fait aucune exception pour la taille. Une PME de 2 employés a les mêmes obligations de base qu'une entreprise de 200 employés.
Qui applique la Loi 25 ?
La Commission d'accès à l'information du Québec — la CAI — est l'organisme gouvernemental qui surveille et applique la loi.
Ce que la CAI peut faire :
- Enquêter suite à une plainte d'un client ou employé
- Mener des audits proactifs sans avertissement
- Émettre des avertissements formels
- Imposer des amendes administratives importantes
- Publier publiquement les noms des entreprises sanctionnées
Ce dernier point est souvent sous-estimé. Une publication publique par la CAI peut nuire à la réputation de votre entreprise bien plus qu'une amende financière.
Les amendes — Combien risque votre entreprise ?
C'est souvent le premier chiffre qui réveille les propriétaires de PME :
Pour les personnes physiques :
Jusqu'à 25 000 $ par infraction
Pour les entreprises :
Jusqu'à 25 000 000 $
ou 4 % du chiffre d'affaires mondial
En pratique, la CAI commence par un avertissement pour une première infraction non grave. Mais voici ce que peu de gens réalisent : une plainte d'un seul client suffit à déclencher une enquête. Et vous n'en serez pas nécessairement informé à l'avance.
La bonne nouvelle est que la CAI reconnaît la bonne foi. Une entreprise qui peut démontrer qu'elle a fait des efforts sérieux de conformité — même si elle n'est pas parfaite — sera traitée beaucoup plus favorablement qu'une entreprise qui n'a rien fait.
C'est l'une des raisons pour lesquelles documenter votre démarche dans un outil comme Nexconform a une valeur légale réelle — pas seulement pratique.
Vos 7 obligations essentielles
Voici ce que vous devez faire, dans l'ordre où je recommande de le faire après avoir aidé de nombreuses PME québécoises à structurer leur conformité.
Obligation 1 — Désigner un RPRP
Le Responsable de la Protection des Renseignements Personnels est la personne officiellement en charge de la conformité dans votre organisation.
Vous devez le désigner officiellement et publier ses coordonnées sur votre site web. Dans la plupart des PME, c'est le propriétaire lui-même. Ce n'est pas un poste à temps plein — c'est une responsabilité désignée.
Temps estimé : 15 minutes.
Obligation 2 — Tenir un registre des activités de traitement
C'est l'obligation que je vois le plus souvent négligée — et pourtant c'est la pièce centrale de toute votre conformité.
Le registre RP est l'inventaire de toutes les données personnelles que vous collectez. Pour chaque type de données vous documentez : quoi, pourquoi, où, combien de temps, qui y a accès et avec qui vous les partagez.
Pour une PME typique les actifs à documenter sont notamment :
- La base de données clients
- Les dossiers employés et la paie
- La liste d'envoi courriel marketing
- Les données de facturation
- Les caméras de surveillance si vous en avez
Temps estimé : 1 à 3 heures selon votre complexité.
Obligation 3 — Publier une politique de confidentialité
Votre politique de confidentialité doit expliquer à vos clients et employés quelles données vous collectez, pourquoi, comment vous les protégez et quels sont leurs droits.
Elle doit être accessible facilement — habituellement dans le pied de page de votre site web.
Une politique copiée d'un autre site ne suffit pas. Elle doit refléter exactement vos pratiques réelles. C'est l'une des raisons pour lesquelles Nexconform génère votre politique de confidentialité par intelligence artificielle en se basant sur votre profil réel — pas un modèle générique.
Obligation 4 — Installer une bannière cookies conforme
Si votre site utilise des cookies non essentiels comme Google Analytics, Meta Pixel ou des publicités, vous devez obtenir le consentement explicite de vos visiteurs avant de les activer.
Ce que beaucoup de propriétaires de site ignorent : un simple bandeau qui dit "Ce site utilise des cookies" sans vrai bouton de refus n'est pas conforme. Votre visiteur doit avoir un vrai choix.
Obligation 5 — Gérer et déclarer les incidents
Un incident de confidentialité c'est tout événement qui compromet des données personnelles que vous détenez. Exemples concrets :
- Ordinateur portable perdu ou volé
- Courriel envoyé par erreur à la mauvaise personne
- Cyberattaque ou virus informatique
- Accès non autorisé aux dossiers clients
Si l'incident présente un risque sérieux de préjudice pour les personnes concernées vous devez notifier la CAI dans les 72 heures. Ce délai est strict.
Obligation 6 — Réaliser des EFVP pour les transferts hors Québec
Si vous utilisez des logiciels américains — et la grande majorité des PME le font — vous transférez des données hors du Québec et une Évaluation des Facteurs relatifs à la Vie Privée est requise.
Exemples de logiciels qui déclenchent cette obligation :
- Mailchimp ou Brevo (marketing courriel)
- Stripe (paiements)
- Google Workspace (courriels et documents)
- Salesforce ou HubSpot (CRM)
- QuickBooks en ligne (comptabilité)
Obligation 7 — Former vos employés
Les employés qui touchent aux données personnelles doivent comprendre leurs obligations. Cette formation doit être documentée — c'est une preuve précieuse en cas d'audit.
Les 5 erreurs que je vois le plus souvent
En discutant avec des centaines de propriétaires de PME québécoises depuis le lancement de Nexconform, j'ai identifié les mêmes erreurs qui reviennent systématiquement.
Erreur 1 — Croire que ça ne s'applique pas à leur entreprise
C'est l'erreur la plus fréquente et la plus dangereuse. Si vous collectez un seul courriel au Québec, la Loi 25 s'applique.
Erreur 2 — Copier la politique de confidentialité d'un concurrent
Une politique copiée ne reflète pas vos pratiques réelles. En cas d'audit, cette incohérence peut aggraver votre situation.
Erreur 3 — Ignorer les sous-traitants
Google, Mailchimp, Stripe — ce sont tous des sous-traitants qui traitent vos données. Ils doivent être documentés et des contrats de traitement doivent être en place.
Erreur 4 — Oublier les données des employés
Les NAS, salaires et évaluations de vos employés sont des renseignements personnels soumis à la même loi que les données clients.
Erreur 5 — Attendre d'être contacté par la CAI
La CAI ne prévient pas. Elle répond aux plaintes et fait des audits. Une seule plainte d'un client ou ex-employé peut déclencher une enquête.
Combien ça coûte de se mettre en conformité ?
Voici une comparaison honnête des options disponibles pour une PME québécoise en 2026 :
| Option | Coût | Notes |
|---|---|---|
| Avocat spécialisé | 150-500 $/h | 2 000 $ à 15 000 $ pour conformité complète |
| Consultant conformité | 1 500-5 000 $ | Documents statiques, pas de mise à jour automatique |
| Nexconform | 99 $/mois | Documents IA, registre RP, bannière cookies, gestion incidents — tout en un |
Moins cher que le tarif d'une heure d'avocat — et vous générez tous vos documents de conformité en quelques heures, pas en semaines.
Par où commencer aujourd'hui — 3 actions concrètes
Si vous n'avez rien fait encore voici ce que je recommande de faire cette semaine :
Désignez votre RPRP (15 minutes)
C'est probablement vous. Ajoutez votre nom et courriel sur votre site web en bas de page.
Faites l'inventaire de vos données (1 heure)
Listez tous les types de données personnelles que vous collectez. Clients, employés, liste courriel, caméras — tout compte.
Évaluez votre score gratuitement (5 minutes)
Créez un compte gratuit sur Nexconform. En 5 minutes vous aurez un score de conformité qui vous dit exactement où vous en êtes et quoi faire en priorité. Aucune carte de crédit requise.
Questions fréquentes
Est-ce que la Loi 25 s'applique aux très petites entreprises ?
Oui, sans exception. Si vous collectez au moins un renseignement personnel au Québec — même juste un courriel client — la loi s'applique.
Combien de temps ai-je pour me mettre en conformité ?
La loi est en vigueur depuis septembre 2023. Il n'y a plus de délai de grâce. Agissez maintenant — chaque mois sans conformité est un risque.
Est-ce que je dois engager un avocat ?
Pour les étapes de base, non. Des outils comme Nexconform permettent à la majorité des PME de gérer leur conformité de façon autonome. Un avocat est recommandé pour les situations complexes ou litigieuses.
Nexconform garantit-il une conformité à 100 % ?
Non — et méfiez-vous de quiconque vous le garantit. Nexconform vous aide à documenter vos pratiques et à atteindre un score élevé qui démontre votre bonne foi à la CAI. Pour des situations juridiques complexes, un avocat spécialisé reste recommandé.
Cet article est publié à titre informatif et ne constitue pas un avis juridique. Pour des situations complexes, consultez un avocat spécialisé en protection des renseignements personnels au Québec.
À propos de l'auteur
Issam est le fondateur de Nexconform, une plateforme SaaS québécoise qui aide les PME à se conformer à la Loi 25 en moins de 2 heures. Il a créé Nexconform après avoir constaté que des milliers de propriétaires de PME québécoises savaient qu'ils devaient agir — mais ne savaient tout simplement pas par où commencer.
Évaluez votre conformité gratuitement →