Vous avez entendu parler du projet de loi 25. Vous avez sans doute acquiescé quand quelqu’un en a parlé lors d’un événement de réseautage ou que vous en avez survolé un titre dans votre boîte de réception. Vous vous êtes peut-être même promis de vous y pencher sérieusement, dans les prochaines semaines, quand les choses se calmeront un peu.
Mais voilà : les choses ne ralentissent jamais. Il y a toujours quelque chose à faire. Le projet de loi 25, la loi phare du Québec en matière de protection de la vie privée, est pleinement en vigueur, activement appliquée et assortie d’amendes qui inciteraient n’importe quel chef d’entreprise à poser sa tasse de café et à y prêter attention.
Si vous dirigez une entreprise à Montréal et que vous recueillez, utilisez ou stockez des renseignements personnels sur vos clients, vos employés ou toute autre personne, cette loi s’applique à vous. Dans son intégralité. Dès maintenant. La question n’est pas de savoir si le projet de loi 25 est votre problème, mais si vous y êtes prêt.
Vous ne savez pas où en est votre entreprise par rapport au projet de loi 25 ? Prenez rendez-vous pour une consultation gratuite avec Resitek, et nous vous aiderons à identifier vos éventuelles lacunes en matière de conformité. Appelez-nous au 514-447-7840.
Le projet de loi 25 — officiellement connu sous le nom de Loi 25, et intitulé « Loi visant à moderniser les dispositions législatives en matière de protection des renseignements personnels » — est la loi québécoise globale sur la protection de la vie privée. Elle est entrée en vigueur en trois phases entre septembre 2022 et septembre 2023, et est désormais pleinement applicable.
Elle a été conçue pour aligner les normes québécoises en matière de protection de la vie privée sur les cadres internationaux tels que le RGPD en Europe, et s'applique à toute organisation du secteur privé qui recueille, utilise ou communique des renseignements personnels concernant des résidents du Québec. Cela inclut les entreprises basées à Montréal, les entreprises situées ailleurs qui offrent des services aux résidents du Québec, ainsi que les organisations de toutes tailles, du cabinet comptable de 5 personnes à l'entreprise de construction multi-sites.
La notion de « renseignements personnels » au sens de la Loi 25 est définie de manière très large. Elle englobe les noms, les adresses électroniques, les numéros de téléphone, les informations financières, les données relatives à la santé, les adresses IP, les habitudes de navigation, les dossiers des employés et tout autre élément pouvant raisonnablement servir à identifier une personne. Si votre entreprise traite l’un de ces éléments — ce qui est le cas de pratiquement toutes les entreprises —, la Loi 25 s’applique à vous.
Ce qui distingue la Loi 25 des politiques de confidentialité vagues que la plupart des entreprises canadiennes avaient en place auparavant, c'est la précision de ses exigences. Elle ne se contente pas de dire « protégez vos données ». Elle vous indique exactement comment, dans quels délais et quelles sont les conséquences si vous ne le faites pas.
C'est là que la plupart des chefs d'entreprise montréalais commencent à en ressentir tout le poids. Expliquons cela en termes simples.
Nommez un responsable de la protection de la vie privée. Toute organisation soumise à la Loi 25 doit désigner une personne chargée de la protection des renseignements personnels. Dans une grande organisation, il peut s'agir d'un poste à part entière. Dans une société d'ingénierie ou une agence immobilière comptant une trentaine de personnes, cette fonction est généralement assumée par le PDG, le directeur des opérations ou un cadre supérieur. Le nom et les coordonnées de cette personne doivent être publiés sur votre site web.
Réalisez une analyse d'impact sur la vie privée (AIP). Avant de lancer tout nouveau projet, système ou processus impliquant la collecte ou l'utilisation de données à caractère personnel, vous devez réaliser une AIP officielle. Cela s'applique aux nouveaux outils logiciels, aux systèmes CRM, aux plateformes RH, aux portails clients, ainsi qu'à tout ce qui traite des données à caractère personnel.
Publiez une politique de confidentialité claire. Votre politique de confidentialité doit être rédigée dans un langage simple, facile à trouver sur votre site web, et préciser clairement quelles informations vous collectez, pourquoi vous les collectez, combien de temps vous les conservez et avec qui vous les partagez. Un modèle générique enfoui dans votre pied de page ne suffit pas.
Obtenez un consentement valable. La collecte de données à caractère personnel nécessite un consentement clair et éclairé. Les cases pré-cochées et les clauses de consentement enfouies ne répondent pas à cette exigence. Le consentement doit être spécifique, éclairé et donné librement — et il doit être aussi facile à retirer qu'il l'a été à donner.
Appliquez le principe de minimisation des données. Vous ne pouvez collecter que les données à caractère personnel dont vous avez réellement besoin pour une finalité spécifique et déclarée. Collecter des données au cas où elles seraient utiles plus tard n'est pas conforme.
Mettez en place des politiques de conservation et de destruction des données. Vous devez disposer de politiques documentées précisant la durée de conservation des informations personnelles et la manière dont vous les détruisez de manière sécurisée lorsqu'elles ne sont plus nécessaires. Cela implique une suppression sécurisée effective, et non pas simplement le déplacement des fichiers vers une corbeille.
Garantissez le droit d'accès et de rectification. Les personnes ont le droit de demander l'accès à leurs informations personnelles et de faire corriger les inexactitudes. Vous devez disposer d'un processus permettant de répondre à ces demandes dans un délai de 30 jours.
Gérer les prestataires tiers. Si vous communiquez des données à caractère personnel à un tiers, qu'il s'agisse d'un fournisseur de services cloud, d'un prestataire de services de paie ou d'une plateforme marketing, il vous incombe de vous assurer qu'ils traitent ces données conformément à la loi n° 25. Vous ne pouvez pas vous décharger de cette responsabilité en externalisant le traitement des données.
Comment une entreprise de Montréal peut-elle réellement se mettre en conformité ?
C'est la partie pratique que la plupart des articles sur la conformité négligent. Voici ce qu'il faut réellement faire, étape par étape.
Étape 1 — Réalisez un audit des données. Répertoriez tous les types de renseignements personnels que votre entreprise recueille. D'où proviennent-ils ? Où sont-ils stockés ? Qui y a accès ? Combien de temps les conservez-vous ? Vous ne pouvez pas protéger ce que vous n’avez pas identifié. C’est la base de tout le reste.
Étape 2 — Nommez votre responsable de la protection de la vie privée et publiez ses coordonnées. Choisissez la bonne personne, confiez-lui clairement la responsabilité de la conformité en matière de protection de la vie privée et mettez à jour votre site web. C’est l’une des exigences les plus visibles et les plus faciles à vérifier de la Loi 25, et les autorités de réglementation y prêteront attention.
Étape 3 — Mettez à jour ou rédigez votre politique de confidentialité. Si votre politique de confidentialité actuelle est un modèle copié-collé datant de 2018, elle doit être réécrite. Elle doit refléter ce que votre entreprise fait réellement des données personnelles, dans un langage simple qu’un client ou un employé puisse réellement comprendre.
Étape 4 — Passez en revue vos mécanismes de consentement. Examinez tous les endroits où votre entreprise recueille des renseignements personnels — formulaires de contact, systèmes de réservation, inscriptions par courriel, dossiers d’accueil des clients — et assurez-vous que le consentement que vous recueillez est explicite, éclairé et documenté.
Étape 5 — Mettez en place un plan d'intervention en cas de violation de données. La Loi 25 vous oblige à informer à la fois la Commission d'accès à l'information (CAI) et les personnes concernées lorsqu'une violation présente un risque de préjudice grave. Vous devez disposer d'un processus documenté pour détecter, contenir et signaler une violation — avant qu'elle ne se produise, et non pendant.
Étape 6 — Auditez vos fournisseurs tiers. Passez en revue chaque plateforme logicielle, service cloud et fournisseur externe qui a accès aux données de vos clients ou de vos employés. Vérifiez qu'ils respectent les exigences de la Loi 25 et consignez ces accords par écrit. Si un fournisseur ne peut pas démontrer sa conformité, cela devient également votre problème.
Étape 7 — Formez votre équipe. La conformité n'est pas seulement un document de politique, c'est une pratique. Vos employés doivent comprendre ce que sont les informations personnelles, comment les traiter correctement et quoi faire si un problème survient. Une formation annuelle est un minimum raisonnable.
Étape 8 — Collaborez avec votre prestataire informatique. Une part importante de la conformité à la loi 25 est d'ordre technique : le chiffrement, les contrôles d'accès, le stockage sécurisé des données, la gestion des sauvegardes et la détection des violations relèvent tous de votre environnement informatique. Si votre infrastructure informatique n'est pas conçue pour garantir la confidentialité dès sa conception, votre plan de conformité présente une lacune importante. C'est précisément là qu'un prestataire informatique géré devient un partenaire essentiel en matière de conformité, et pas seulement une ressource technique.
Qu'en est-il des entreprises situées hors du Québec — et des consommateurs québécois qui font appel à des entreprises situées ailleurs ?
Il s'agit là d'un des aspects les plus importants et les moins bien compris de la Loi 25, qui touche de nombreuses entreprises canadiennes qui ne se rendent même pas compte qu'elles sont concernées.
Si votre entreprise est établie au Québec mais qu'elle dessert des clients hors du Québec, la Loi 25 s'applique tout de même à la manière dont vous traitez toutes les données personnelles — y compris celles de vos clients de l'Ontario, de la Colombie-Britannique ou de l'étranger. Resitek en est un bon exemple. Notre siège social est situé à Montréal, mais nous servons des clients partout au Canada. La Loi 25 régit la façon dont nous recueillons, conservons et protégeons les renseignements personnels de chaque client avec lequel nous travaillons, peu importe où ce client se trouve. Le fait d’être une entreprise établie au Québec ne limite pas vos obligations en vertu de la Loi 25 aux résidents du Québec uniquement ; cela signifie que l’ensemble de vos pratiques en matière de traitement des données doit respecter les normes de la Loi 25.
Si votre entreprise est établie hors du Québec mais qu'elle offre ses services à des résidents québécois, la Loi 25 s'applique tout de même à vous. Une entreprise établie en Ontario qui a des clients à Montréal est soumise à la Loi 25 pour toutes les données personnelles qu'elle recueille auprès de ces résidents québécois. Il s'agit là d'une des lacunes les plus courantes en matière de conformité que nous constatons : les entreprises situées hors de la province partent du principe que, puisqu'elles ne sont pas physiquement présentes au Québec, la loi ne s'applique pas à elles. Or, c'est bien le cas.
Si vous êtes un consommateur québécois qui fait appel à une entreprise établie à l'extérieur du Québec, les protections prévues par la Loi 25 s'appliquent techniquement, mais leur mise en œuvre devient plus complexe. La Commission d'accès à l'information du Québec a compétence sur les organisations qui recueillent les renseignements personnels des résidents du Québec, mais le traitement d'une plainte contre une entreprise hors province nécessite une coordination entre les différentes juridictions. Au niveau fédéral, la LPRPDE — la loi fédérale canadienne sur la protection des renseignements personnels — offre une protection de base aux Canadiens dans le cadre des transactions interprovinciales. Les résidents du Québec qui traitent avec des entreprises situées à l'extérieur de la province peuvent déposer des plaintes en vertu de la LPRPDE auprès du Commissariat à la protection de la vie privée du Canada. La Loi 25 et la LPRPDE constituent des cadres distincts, mais leurs chevauchements offrent une protection à plusieurs niveaux aux consommateurs québécois.
Conclusion pratique pour les entreprises montréalaises : si vos clients ou vos employés se trouvent n'importe où au Canada, vos pratiques en matière de traitement des données doivent être rigoureuses. La Loi 25 fixe la barre très haut — et si vous la respectez, vous êtes en bonne posture, quel que soit le lieu où se trouvent vos clients.
Quelles sont les sanctions prévues par la Loi 25 ?
Voici le chiffre qui a tendance à faire réfléchir, et il existe en réalité deux niveaux.
Pour les infractions moins graves, la CAI peut infliger des sanctions administratives pécuniaires pouvant aller jusqu'à 10 millions de dollars canadiens ou 2 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu. Pour les infractions graves portées devant la Cour du Québec, les amendes peuvent atteindre 25 millions de dollars canadiens ou 4 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu.
Il ne s'agit pas de sanctions hypothétiques figurant dans un document de politique. La Commission d'accès à l'information enquête activement sur les plaintes, effectue des audits et a le pouvoir d'imposer des sanctions importantes aux organisations qui ne se conforment pas à la loi.
Au-delà des sanctions administratives, la Loi 25 introduit également le droit pour les particuliers de demander des dommages-intérêts en cas de violation de la vie privée, ce qui signifie que les entreprises non conformes s'exposent à une responsabilité civile potentielle en plus des amendes réglementaires. Pour un cabinet d'avocats, une agence immobilière ou une société d'ingénierie de Montréal, l'atteinte à la réputation et les risques juridiques liés à une plainte en matière de protection de la vie privée rendue publique pourraient facilement dépasser le coût de la mise en conformité initiale.
Les infractions mineures, comme le fait de ne pas publier les coordonnées de votre responsable de la protection de la vie privée ou d'avoir une politique de confidentialité inadéquate, entraînent des sanctions moins lourdes, mais elles restent tout de même dans le collimateur des autorités. L'ACIP a clairement indiqué qu'elle attendait des organisations qu'elles prennent la conformité au sérieux, et elle dispose des outils nécessaires pour vérifier qu'elles le font.
Quelles sont les obligations en matière de notification des atteintes prévues par la Loi 25 du Québec ?
Si une atteinte à la vie privée se produit et qu'elle présente un risque de préjudice grave pour une personne, la Loi 25 vous impose de prendre deux mesures immédiates.
Premièrement, vous devez aviser la Commission d'accès à l'information dès que vous avez connaissance de la violation. Deuxièmement, vous devez aviser chaque personne concernée dont les renseignements personnels ont été compromis. Ces deux avis doivent indiquer ce qui s'est passé, quels renseignements ont été touchés, les mesures que vous prenez pour limiter la violation et ce que la personne concernée peut faire pour se protéger.
L'expression « risque de préjudice grave » est définie de manière large et inclut les risques pour le bien-être physique ou psychologique, la réputation, la situation financière et l'emploi. Dans la pratique, la plupart des violations de données significatives — une base de données clients exposée, une attaque par ransomware qui crypte les dossiers du personnel, un courriel contenant des informations financières envoyé au mauvais destinataire — déclencheront l'obligation de notification.
C'est pourquoi disposer d'un plan de réponse aux incidents documenté et d'un partenaire informatique capable de détecter et de contenir rapidement les violations n'est pas facultatif en vertu de la Loi 25. Plus vous détectez rapidement une violation, plus vous pouvez la contenir rapidement, plus l'obligation de notification est réduite et plus vous maîtrisez l'issue de la situation. Les entreprises qui découvrent une violation plusieurs mois après qu'elle s'est produite — ce qui est courant en l'absence de surveillance proactive — doivent faire face à des discussions beaucoup plus difficiles tant avec les autorités de régulation qu'avec leurs clients.
Pour en savoir plus sur la manière de mettre en place une stratégie de sécurité informatique permettant de se conformer à la Loi 25, consultez notre article de blog qui explique pourquoi les entreprises montréalaises sont la nouvelle cible des attaques par ransomware en 2026 et à quoi ressemble concrètement une cybersécurité proactive pour une entreprise en pleine croissance.
Prêt à prendre au sérieux la conformité à la Loi 25 ? Découvrez les services de cybersécurité et d'informatique gérée de Resitek destinés aux entreprises de Montréal, ouprenez rendez-vous dès aujourd'hui pour une consultation gratuite avec notre équipe. Appelez-nous au 514-447-7840.
Réservez dès aujourd'hui votre consultation gratuite
ou appelez le 514-447-7840.
___________________________________________________________________________________________________________________
Sources et références
2026 Resitek Information Technologies Inc. Tous droits réservés. resitek.com | (514) 447-7840