La Loi 25 est pleinement en vigueur depuis septembre 2024 et les entreprises québécoises qui ne sont pas encore conformes s’exposent à des sanctions pouvant atteindre 25 millions de dollars. Pourtant, de nombreuses PME n’ont toujours pas complété leur mise en conformité. La question n’est plus de savoir si vous devez agir, mais comment vous y prendre concrètement. Ce guide pratique vous accompagne étape par étape pour évaluer votre niveau de préparation et combler les lacunes. Un fournisseur de services gérés (FSG) peut vous accompagner dans chaque étape de cette démarche.
Auto-évaluation : où en êtes-vous ?
Avant de dresser un plan d’action, il est essentiel de savoir où vous en êtes. Répondez à ces questions pour évaluer votre niveau de conformité actuel :
- Avez-vous désigné un responsable de la protection des renseignements personnels ?
- Disposez-vous d’un registre des incidents de confidentialité ?
- Votre politique de confidentialité est-elle à jour et accessible sur votre site Web ?
- Obtenez-vous un consentement clair et explicite avant de collecter des données personnelles ?
- Avez-vous réalisé une évaluation des facteurs relatifs à la vie privée (ÉFVP) pour vos projets impliquant des données ?
- Vos ententes avec les tiers fournisseurs incluent-elles des clauses de protection des données ?
- Vos employés ont-ils reçu une formation sur la protection des renseignements personnels ?
Si vous avez répondu « non » à plus de deux de ces questions, votre entreprise présente des lacunes importantes en matière de conformité à la Loi 25.
Plan d’action en 7 étapes pour se conformer
1. Nommer un responsable
Désignez officiellement une personne responsable de la protection des renseignements personnels. Cette personne est le point de contact pour la Commission d’accès à l’information (CAI) et pour toute demande d’accès ou de rectification.
2. Cartographier vos données
Identifiez quelles données personnelles vous collectez, où elles sont stockées, qui y a accès et pourquoi. Cette cartographie est la base de toute démarche de conformité.
3. Mettre à jour votre site Web
Votre site doit afficher une politique de confidentialité claire, obtenir le consentement avant d’activer les témoins (cookies) et offrir un moyen simple d’exercer les droits d’accès et de suppression. Votre stratégie de marketing numérique et SEO doit intégrer ces exigences pour rester conforme tout en performant dans les moteurs de recherche.
4. Implanter un processus de gestion des incidents
Préparez un protocole clair : détection de l’incident, évaluation du risque, notification à la CAI et aux personnes concernées dans les délais prescrits, et documentation dans votre registre.
5. Réviser vos ententes avec les fournisseurs
Assurez-vous que tous vos fournisseurs qui ont accès à des données personnelles respectent les exigences de la Loi 25. Intégrez des clauses de protection des données dans vos contrats.
6. Former vos employés
Le facteur humain est la première cause d’incidents de confidentialité. Formez régulièrement votre équipe sur les bonnes pratiques : reconnaissance de l’hameçonnage, gestion des données sensibles, protocoles en cas d’incident.
7. Documenter et maintenir
La conformité n’est pas un projet ponctuel — c’est un processus continu. Documentez vos politiques, révisez-les régulièrement et adaptez-les à l’évolution de votre entreprise et de la réglementation.
Tableau : niveaux de conformité à la Loi 25
| Niveau | Description | Risque | Action requise |
|---|---|---|---|
| Non conforme | Aucune mesure en place | Critique | Audit complet + plan d’urgence |
| Partiel | Quelques mesures isolées | Élevé | Compléter les lacunes identifiées |
| En progression | Processus en cours | Modéré | Finaliser et documenter |
| Conforme | Toutes les obligations respectées | Faible | Maintenir et réviser annuellement |
FAQ — Conformité à la Loi 25
Est-il trop tard pour se conformer à la Loi 25 ?
Non, mais il est urgent d’agir. La loi est pleinement en vigueur et la CAI peut imposer des sanctions à tout moment. Plus vous tardez, plus le risque financier et réputationnel augmente. Un partenaire en services gérés TI peut accélérer votre mise en conformité.
Combien coûte la mise en conformité à la Loi 25 ?
Le coût varie selon la taille de l’entreprise, la complexité de ses systèmes et son niveau de préparation actuel. Cependant, le coût de la non-conformité (sanctions jusqu’à 25 M$, recours collectifs, atteinte à la réputation) dépasse largement l’investissement nécessaire pour se conformer.
Mon site Web doit-il être modifié pour la Loi 25 ?
Oui. Votre site doit inclure une politique de confidentialité à jour, un mécanisme de consentement pour les témoins, et un moyen pour les visiteurs d’exercer leurs droits. Une optimisation SEO conforme assure que ces changements n’affectent pas négativement votre positionnement.
Les PME sont-elles vraiment ciblées par la CAI ?
Oui. La Loi 25 s’applique à toutes les entreprises québécoises sans distinction de taille. La CAI peut mener des enquêtes à la suite de plaintes ou d’incidents déclarés. Les PME sont souvent plus vulnérables en raison de ressources limitées en cybersécurité.
