« La Loi 25, c'est pour Google et Facebook, pas pour mon petit restaurant de 20 places à Montréal. » C'est ce que me disait Ahmed, propriétaire d'une charmante boulangerie sur la rue Saint-Denis, quand je l'ai croisé au déjeuner. Il venait d'installer un nouveau système de réservations en ligne, embarqué sur DoorDash, et avait 12 employés — mais il n'avait jamais entendu parler de RPRP ou de registre RP.
Le problème ? Son restaurant collecte des données personnelles à une vitesse phénoménale : numéros de téléphone pour les réservations, adresses pour la livraison, allergies alimentaires notées à la main, NAS de ses employés pour la paie, et même des images de caméras de surveillance 24/7.
Si vous êtes restaurateur au Québec, ce guide est pour vous. La Loi 25 s'applique à toutes les entreprises qui collectent des données personnelles — et oui, ça inclut votre restaurant, qu'il fasse 20 couverts ou 200.
Oui, ça s'applique à votre restaurant (même petit)
Le seuil de la Loi 25 est simple : si vous collectez des renseignements personnels dans le cours de vos activités commerciales, vous êtes concerné. Point. Voici les situations typiques dans un restaurant :
📅 Réservations
Même si vous prenez juste nom + téléphone par téléphone ou via OpenTable, ce sont des données personnelles.
👥 Employés
Si vous avez des serveurs, des cuisiniers, des livreurs — vous détenez leur NAS, coordonnées, horaires.
🎁 Programme de fidélité
Carte de membre, points, habitudes d'achat — toutes ces données sont traçables à des individus.
🛵 Livraison en ligne
DoorDash, UberEats, ou votre propre site de commande — nom, adresse, téléphone, historique.
📧 Liste de diffusion
Courriels pour les promotions, événements spéciaux — consentement obligatoire.
📹 Caméras de surveillance
Si vous avez des caméras pour la sécurité, les clients et employés filmés sont des données personnelles.
Le message clé : Ce n'est pas la taille de votre restaurant qui compte, c'est la nature de vos activités. Un restaurant de 20 places avec réservations et livraison collecte autant de données (voire plus) qu'un grand restaurant qui ne fait que du service à table sans réservation.
Vos actifs RP à documenter (c'est plus simple qu'en santé)
Contrairement aux cliniques de santé qui ont des données hyper-sensibles, les restaurants ont des données plus « classiques » — mais elles doivent quand même être documentées dans votre registre RP.
⚠️ Allergies alimentaires (SENSIBLE)
Quand vous notez « allergie aux arachides » ou « intolérance au gluten », ce sont des données de santé. La Loi 25 les traite comme des données sensibles avec protection renforcée.
📅 Système de réservations
- • Données : Nom, téléphone, taille du groupe, allergies
- • Sources : OpenTable, Resy, téléphone, walk-in notes
- • Durée : 1 an recommandée après la dernière réservation
🎁 Programme de fidélité
- • Données : Nom, courriel, téléphone, habitudes d'achat
- • Sources : Votre système de points, carte de membre
- • Durée : Durée de l'adhésion + 2 ans
🛵 Commandes en ligne
- • Données : Nom, adresse livraison, téléphone, historique commandes
- • Sources : Votre site web, application mobile
- • Durée : 1 an après la dernière commande
📧 Liste courriel promotions
- • Données : Adresses courriel, consentement
- • Sources : Mailchimp, Constant Contact, liste interne
- • Durée : Jusqu'au retrait du consentement
Les données de vos employés : souvent l'oubli le plus risqué
Voici un secret : pour la plupart des restaurants, les données les plus sensibles ne concernent pas les clients — elles concernent les employés. Et c'est souvent là que les restaurateurs négligent leurs obligations.
NAS pour la paie
Chaque employé a un numéro d'assurance sociale. C'est l'identifiant le plus sensible qu'un Canadien possède. Si vous gardez ces numéros sur des feuilles volantes dans un tiroir non barré, vous avez un problème majeur.
Évaluations de performance
Notes sur comportement, capacités, incidents — ces documents doivent être protégés et conservés 7 ans après la fin d'emploi.
Horaires et absences
Les motifs d'absences (maladie, congés) révèlent des informations de santé ou de vie personnelle.
🚨 Erreur courante : Un restaurateur garde les NAS de 15 employés sur une feuille Excel non protégée, accessible à tout le monde dans le bureau. Si cette feuille fuite, ce sont 15 numéros d'assurance sociale compromises — et une notification à la CAI quasi-certaine.
La bonne pratique : Stockez les dossiers employés dans un classeur barré (papier) ou un dossier protégé par mot de passe (informatique). Limitez l'accès au propriétaire et au gestionnaire de paie uniquement.
Livraison et plateformes en ligne : attention aux sous-traitants américains
C'est la zone grise la plus dangereuse pour les restaurants. Quand vous utilisez DoorDash ou UberEats, vous envoyez les données de vos clients (nom, adresse, téléphone, commande) à des entreprises américaines. La Loi 25 exige que vous documentiez ces partages.
🚗 DoorDash
Serveurs aux USA. EFVP requise pour les données clients.
🚲 UberEats
Serveurs aux USA. EFVP requise pour les données clients.
🍽️ SkipTheDishes
Serveurs Canada/USA mixtes. Vérifier votre contrat.
La bonne nouvelle : Vous n'avez pas besoin d'arrêter d'utiliser ces plateformes. Elles apportent des revenus essentiels. Mais vous devez :
- Les documenter dans votre registre RP comme sous-traitants
- Réaliser une Évaluation des facteurs relatifs à la vie privée (EFVP) pour justifier le transfert aux États-Unis
- Avoir un contrat ou conditions d'utilisation qui précisent les obligations de protection des données
Pour un restaurant typique, c'est 30-45 minutes de documentation. Ce n'est pas complexe, c'est juste du travail administratif que beaucoup ignorent.
Caméras de surveillance : les règles spécifiques au Québec
Beaucoup de restaurants ont des caméras pour la sécurité — vols en cuisine, incidents en salle à manger, ou juste pour surveiller la caisse. Ces caméras créent des données personnelles sous la Loi 25, avec des règles strictes.
📋 Avis obligatoire à l'entrée
Un avis visible doit indiquer que le restaurant utilise des caméras de surveillance, la raison (sécurité), et comment contacter le responsable des données. Placez-le près de la porte d'entrée.
⏱️ Durée maximum : 30 jours
Les enregistrements ne doivent pas être conservés plus de 30 jours sauf si nécessaires pour une enquête (vol, incident).
🔒 Accès restreint
Seul le propriétaire et les personnes autorisées (gérant, responsable sécurité) doivent pouvoir accéder aux enregistrements. Pas les serveurs, pas les cuisiniers.
🚫 Zones interdites
Évidemment, pas de caméras dans les toilettes. Mais aussi évitez les vestiaires employés, les zones de pause privées, et les endroits où les clients s'attendent à l'intimité.
Par où commencer cette semaine (90 minutes max)
Vous n'avez pas besoin d'un avocat ou d'un consultant coûteux. Voici 3 actions concrètes pour un restaurant de taille moyenne (10-15 employés) :
1Désignez votre RPRP et publiez les coordonnées (15 min)
Le plus simple et le plus visible. Mettez les coordonnées de votre RPRP sur votre site web et dans le restaurant. Voir notre guide sur le RPRP.
2Sécurisez les dossiers employés (45 min)
Trouvez tous les documents avec des NAS. Mettez-les dans un classeur barré ou un dossier informatique protégé. Notez qui y a accès. C'est souvent votre plus grande vulnérabilité.
3Documentez vos plateformes de livraison (30 min)
Listez DoorDash, UberEats, ou autres dans votre registre RP. Notez quelles données partagez-vous et pourquoi. Planifiez l'EFVP si vous avez le temps (sinon, priorisez les 2 premières actions).
Total : 90 minutes. Ces 3 actions réduisent drastiquement votre risque d'amende et vous placent dans la catégorie « restaurant qui fait des efforts ». C'est ce qui compte pour la CAI.
Questions fréquentes sur la Loi 25 en restauration
Est-ce que la Loi 25 s'applique à mon restaurant ?
Oui. Dès que vous prenez des réservations, gérez des employés ou avez un programme de fidélité, vous collectez des renseignements personnels et la Loi 25 s'applique. La taille de votre restaurant n'a pas d'importance — un café de 10 places est aussi concerné qu'un grand restaurant.
Les allergies alimentaires notées lors des réservations sont-elles des données sensibles ?
Oui. Les allergies alimentaires sont considérées comme des données de santé — une catégorie sensible selon la Loi 25 qui demande une protection renforcée. Si vous notez « allergie aux noix » ou « intolérance au gluten », vous détenez des données médicales sensibles.
Dois-je déclarer les données que je partage avec DoorDash ou UberEats ?
Oui. DoorDash et UberEats sont des sous-traitants qui traitent les données de vos clients. Vous devez les documenter dans votre registre RP et une EFVP est requise car leurs serveurs sont aux États-Unis. Mais vous pouvez continuer à les utiliser — il faut juste documenter.
Les caméras de surveillance dans mon restaurant sont-elles concernées par la Loi 25 ?
Oui. Les images de vos clients et employés sont des renseignements personnels. Vous devez afficher un avis visible à l'entrée, limiter la durée de conservation à 30 jours maximum et restreindre l'accès aux enregistrements au propriétaire et au personnel autorisé uniquement.
Clause de non-responsabilité : Ce guide est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Les obligations spécifiques varient selon votre situation. Consultez un avocat spécialisé en protection des données pour des conseils adaptés à votre restaurant. Nexconform ne garantit pas une conformité à 100 %.