Nexconform
Guide secteur 15 000+ entreprises

Loi 25 pour Transport & Logistique : guide pratique 2026

Équipe Nexconform

Les entreprises de transport et logistique québécoises gèrent des données sensibles : coordonnées des expéditeurs et destinataires, routes détaillées, données GPS en temps réel, et informations commerciales. Avec plus de 15 000 entreprises de transport et une digitalisation croissante (télémétrie, ELD), la protection de ces données de localisation est essentielle.

Plan de conformité Loi 25 pour transport & logistique : 8 étapes

1

Désigner un RPRP

15 min

Nommez un responsable de la protection des renseignements personnels au sein de l'entreprise.

Actions

  • Désigner un RPRP (directeur ou responsable flotte)
  • Publier coordonnées sur site et documentation
  • Informer la CAI de la désignation

Livrable

Coordonnées RPRP publiées

2

Inventaire des données transport

1h 30

Identifiez toutes les données : GPS, ELD, expéditeurs, chauffeurs, clients.

Actions

  • Lister tous les systèmes de géolocalisation
  • Identifier les données des systèmes ELD
  • Cartographier les flux avec expéditeurs

Livrable

Inventaire des données transport

3

Analyse des risques logistiques

1h

Évaluez les risques spécifiques : géolocalisation, données ELD, fuites commerciales.

Actions

  • Évaluer risques de données GPS
  • Identifier risques des systèmes ELD
  • Scorer risques de fuites commerciales

Livrable

Analyse des risques logistiques

4

Sécurisation des données GPS

1h

Chiffrez les données de géolocalisation et limitez leur accès.

Actions

  • Chiffrer les données de localisation
  • Limiter accès aux gestionnaires autorisés
  • Configurer logs d'accès détaillés

Livrable

Données GPS sécurisées

5

Contrats avec expéditeurs

1h

Signez des contrats de sous-traitance avec les clients expéditeurs.

Actions

  • Rédiger modèle de contrat de sous-traitance
  • Signaler avec tous les expéditeurs
  • Établir procédure de fin de contrat

Livrable

Contrats de sous-traitance signés

6

Registre des traitements

1h 30

Documentez chaque traitement : GPS, ELD, données clients, sous-traitants.

Actions

  • Documenter finalités des traitements
  • Définir durées conservation (6 mois/2 ans)
  • Lister tous les sous-traitants technologiques

Livrable

Registre RP transport complet

7

Politique et consentement

45 min

Rédigez une politique de confidentialité et informez les chauffeurs de la surveillance.

Actions

  • Rédiger politique adaptée au transport
  • Informer les chauffeurs de la collecte GPS
  • Afficher politique dans les locaux

Livrable

Politique publiée + avis aux chauffeurs

8

Formation du personnel

45 min

Formez le personnel et les chauffeurs aux bonnes pratiques de protection des données.

Actions

  • Former aux risques des données GPS
  • Expliquer confidentialité des expéditeurs
  • Signer engagements de confidentialité

Livrable

Attestations de formation signées

Obligations spécifiques pour les transport & logistique

1

Données de géolocalisation

Les données GPS des chauffeurs et véhicules sont des données personnelles sensibles. Leur collecte doit être justifiée (gestion de flotte, sécurité), limitée dans le temps, et les chauffeurs doivent être informés de la surveillance.

2

Protection des données commerciales

Les informations sur les expéditeurs, destinataires, et marchandises sont confidentielles. Leur fuite peut compromettre la chaîne logistique et la sécurité des biens transportés.

3

Sécurité des systèmes ELD

Les appareils ELD collectent des données détaillées sur les heures de conduite, les pauses, et les routes. Ces données doivent être sécurisées et accessibles uniquement aux personnes autorisées (gestionnaires, autorités).

4

Données des clients B2B

Les entreprises de transport traitent des données pour le compte de leurs clients expéditeurs. Des contrats de sous-traitance sont nécessaires pour définir les responsabilités.

Risques principaux et solutions

Risque

Exposition des données GPS

Conséquence

Fuite des données de localisation des chauffeurs en temps réel ou historiques. Atteinte à la vie privée et risque de sécurité (vols ciblés).

Solution

Chiffrement des données GPS. Accès limité aux gestionnaires autorisés. Durée de conservation limitée (6 mois opérationnels). Anonymisation pour les analyses statistiques.

Risque

Fuite de données commerciales

Conséquence

Exposition des informations sur les expéditeurs, destinataires, et marchandises. Risque de vols ciblés et perte de confiance des clients.

Solution

Classification des données selon la sensibilité. Contrôle d'accès strict. Contrats de confidentialité avec les partenaires logistiques.

Risque

Compromission des systèmes ELD

Conséquence

Accès non autorisé aux données de conduite des chauffeurs. Possibilité de falsification des données réglementaires.

Solution

Sécurisation des appareils ELD (authentification forte). Chiffrement des transmissions. Logs d'accès audités.

Risque

Conservation excessive des routes

Conséquence

Conserver indéfiniment les historiques de routes expose à des fuites et permet de reconstituer les habitudes des chauffeurs.

Solution

Politique de rétention : conservation 6 mois pour opérations, 2 ans pour réglementaire, puis destruction. Anonymisation pour analyses long terme.

Actifs de données à protéger

élevée

Données GPS temps réel

Positions en temps réel des camions, historiques des routes, zones fréquentées, arrêts et durées, vitesses

élevée

Données ELD

Heures de conduite, pauses obligatoires, inspection des véhicules, données réglementaires pour la SAAQ et Transport Canada

moyenne

Informations expéditeurs

Coordonnées des expéditeurs, adresses de ramassage, détails des marchandises, valeurs déclarées, instructions spéciales

élevée

Données des chauffeurs

NAS, permis de conduire, dossiers de formation, historiques de conduite, évaluations de performance, incidents

moyenne

Données des destinataires

Coordonnées de livraison, horaires de réception, instructions de déchargement, preuves de livraison

Cas client : Transport Québec Logistique

T

Transport Québec Logistique

85 camions, 120 employés

Conformité complète en 5 heures. Données GPS sécurisées, contrats signés avec tous les expéditeurs. Aucun incident depuis 18 mois.

"La sécurisation de nos données GPS nous a permis de rassurer nos chauffeurs. Les contrats standardisés ont accéléré notre croissance B2B."

Exemple de sanction réelle

Une entreprise de transport de Montréal a été sanctionnée à hauteur de 55 000 $ en 2024 suite à une fuite de données GPS de 200 chauffeurs via un système de gestion de flotte mal sécurisé. Les données incluaient les habitudes et domiciles des chauffeurs.

Questions fréquentes

Dois-je informer les chauffeurs de la collecte GPS ?

Oui, c'est obligatoire. Les chauffeurs doivent être informés de la collecte de leurs données de localisation, de la finalité (gestion de flotte, sécurité), et de la durée de conservation. Un avis clair doit être affiché ou remis.

Puis-je conserver les données GPS indéfiniment ?

Non. La Loi 25 impose la limitation de la conservation. Conservez les données GPS 6 mois pour la gestion opérationnelle, 2 ans pour les obligations réglementaires, puis détruisez-les ou anonymisez-les.

Quelles sont mes obligations avec les données des expéditeurs ?

Vous êtes sous-traitant pour vos clients expéditeurs. Vous devez signer un contrat de sous-traitance, sécuriser leurs données, et ne les utiliser que pour les finalités de transport convenues.

Rejoignez les Transport & Logistique conformes

15 000+ entreprises utilisent déjà Nexconform pour automatiser leur conformité.

Créer mon compte gratuitVoir une démo