Conformité à la Loi 25 pour les PME : par où commencer (guide étape par étape)
Vous ne savez pas par où commencer avec la Loi 25 ? Voici un guide concret en 7 étapes pour mettre votre PME en conformité, sans grosse équipe TI ni budget démesuré.
Pour conformer une PME à la Loi 25, commencez par trois actions : nommer un responsable de la protection des renseignements personnels, dresser l'inventaire des données personnelles que vous détenez, puis publier une politique de confidentialité et un processus de gestion des incidents. La conformité n'est pas un chantier de plusieurs mois : les fondations essentielles se posent en quelques semaines.
L'essentiel en bref
- La Loi 25 s'applique à TOUTE entreprise québécoise qui détient des renseignements personnels, peu importe sa taille ou son secteur.
- Trois piliers : un responsable désigné, de la transparence (politique + consentement clair) et un plan de réponse aux incidents.
- Commencez par l'inventaire des données : c'est l'étape qui débloque toutes les autres.
La Loi 25 concerne-t-elle vraiment ma PME ?
Oui. Contrairement à une idée répandue, la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) ne vise pas que les grandes entreprises. Dès qu'une organisation québécoise collecte, utilise ou conserve des renseignements personnels — ceux de clients, d'employés ou de prospects — elle est assujettie. Une boutique en ligne, une clinique, un cabinet comptable ou un manufacturier de 10 personnes sont tous concernés.
Les obligations sont entrées en vigueur par étapes (septembre 2022, 2023 et 2024). Aujourd'hui, l'ensemble du régime est applicable, y compris le droit à la portabilité des données et l'obligation de transparence sur les décisions automatisées.
Vous êtes presque certainement concerné si vous gérez :
- une base de clients (courriels, adresses, historiques d'achat) ;
- des dossiers employés (paie, RH, coordonnées) ;
- un site web avec formulaire de contact, infolettre ou paiement en ligne ;
- des données de santé, financières ou biométriques.
Les 7 étapes pour démarrer
Voici la séquence que nous recommandons aux PME que nous accompagnons. Elle est volontairement pragmatique : chaque étape produit un livrable concret.
- Nommer un responsable de la protection des renseignements personnels (par défaut, la personne ayant la plus haute autorité) et publier son titre et ses coordonnées.
- Cartographier vos données : quelles informations, où elles sont stockées, qui y accède, combien de temps vous les conservez.
- Rédiger ou mettre à jour votre politique de confidentialité, claire et accessible, et l’afficher sur votre site.
- Revoir le consentement : il doit être libre, éclairé et donné à des fins précises (fini les cases pré-cochées).
- Établir un registre et un protocole en cas d’incident de confidentialité (qui prévenir, comment, dans quel délai).
- Encadrer vos fournisseurs et sous-traitants par des clauses contractuelles de protection des données.
- Sécuriser techniquement les données : chiffrement, contrôle des accès, sauvegardes, journalisation.
Les erreurs les plus fréquentes
La majorité des non-conformités que nous observons ne viennent pas d'un manque de bonne volonté, mais de raccourcis évitables.
- Copier-coller une politique de confidentialité trouvée en ligne sans refléter ses pratiques réelles.
- Oublier les données des employés, souvent négligées au profit des seules données clients.
- Conserver les données « au cas où », sans durée ni justification — un risque majeur.
- Ne pas avoir de plan d'incident : la Loi 25 exige de réagir vite et de documenter.
Combien de temps et combien ça coûte ?
Pour une PME type, poser les fondations (étapes 1 à 5) prend généralement de 3 à 6 semaines. La sécurisation technique (étapes 6 et 7) dépend de votre infrastructure existante.
Le coût varie selon votre maturité : une PME bien outillée peut s'en sortir avec un accompagnement ponctuel, tandis qu'une organisation manipulant des données sensibles aura intérêt à investir dans un audit complet et une remédiation. L'important est de commencer : la conformité est un processus continu, pas un certificat ponctuel.
Questions fréquentes
La Loi 25 s'applique-t-elle aux petites entreprises ?
Oui. La Loi 25 s'applique à toute entreprise qui exerce des activités au Québec et qui détient des renseignements personnels, quelle que soit sa taille. Une entreprise individuelle ou une PME de quelques employés est assujettie au même titre qu'une grande organisation.
Dois-je obligatoirement nommer un responsable de la protection des renseignements personnels ?
Oui, c'est une obligation. Par défaut, la responsabilité incombe à la personne ayant la plus haute autorité dans l'entreprise, mais elle peut être déléguée par écrit. Le titre et les coordonnées du responsable doivent être publiés (généralement sur votre site web).
Quelles sont les sanctions en cas de non-conformité à la Loi 25 ?
Les sanctions peuvent être lourdes : des amendes administratives pouvant atteindre 10 M$ ou 2 % du chiffre d'affaires mondial, et des sanctions pénales allant jusqu'à 25 M$ ou 4 % du chiffre d'affaires. Au-delà de l'amende, le risque réputationnel est souvent le plus coûteux pour une PME.
Quelle est la différence entre la Loi 25 et le RGPD ?
La Loi 25 est la loi québécoise, le RGPD la réglementation européenne. Les principes se recoupent largement (transparence, consentement, droits des personnes), mais les définitions, délais et formalités diffèrent. Une entreprise active au Québec et en Europe doit respecter les deux.
Combien de temps faut-il pour être conforme ?
Les fondations essentielles (responsable, inventaire des données, politique, consentement, plan d'incident) se mettent en place en 3 à 6 semaines pour une PME typique. La conformité reste ensuite un processus continu à entretenir.
L'essentiel à retenir
Ne cherchez pas la conformité parfaite du premier coup : visez d'abord les fondations (responsable, inventaire, politique, consentement, plan d'incident). Chez Codally, nous accompagnons les PME québécoises sur l'ensemble du parcours, du diagnostic à la sécurisation technique des données.
Besoin d'accompagnement ?
Codally peut vous aider à intégrer ces solutions dans votre entreprise.