S3 logo
514.284.6262

Ce que les PME du Québec doivent savoir sur la Loi 25 en 2025

8 mai 2025

La Loi 25 a pour but de moderniser la protection des renseignements personnels au Québec. Son application se fait en plusieurs phases, mais septembre 2025 marquera l’entrée en vigueur de ses dispositions finales et les PME doivent s’y préparer.

Chez S3, nous accompagnons nos clients dans leur conformité. Voici ce que vous devez savoir, en tant que PME québécoise, pour être prêt.

Qu’est-ce que la Loi 25 ?

La Loi 25 modernise la Loi sur la protection des renseignements personnels dans le secteur privé. Elle s’inspire du RGPD européen et impose de nouvelles obligations aux entreprises qui recueillent, utilisent ou conservent des données personnelles.

Elle concerne toutes les entreprises qui font affaire au Québec, peu importe leur taille.

Ce qui est déjà en vigueur (depuis 2022-2023)

  • Nommer une personne responsable de la protection des renseignements personnels
  • Aviser la CAI (Commission d’accès à l’information du Québec) et les personnes concernées en cas d’incident de confidentialité
  • Tenir un registre des incidents
  • Détruire les renseignements personnels lorsqu’ils ne sont plus nécessaires
  • Divulguer les politiques de confidentialité sur votre site web

Ce qui entre en vigueur en septembre 2025

  • Faire une évaluation des facteurs relatifs à la vie privée (EFVP) avant de collecter ou partager certaines données sensibles
  • Encadrer les communications de renseignements personnels à l’étranger
  • Permettre la portabilité des données (les utilisateurs peuvent demander une copie de leurs données dans un format lisible)
  • Respecter le droit à l’effacement (« droit à l’oubli »)
  • Documenter toutes vos politiques et pratiques en matière de données personnelles

Ces obligations peuvent paraître complexes, mais elles sont essentielles pour éviter des sanctions importantes.

Quelles sont les conséquences en cas de non-conformité ?

Les amendes prévues par la Loi 25 sont parmi les plus élevées au Canada :

  • Jusqu’à 10 millions de dollars ou 2 % du chiffre d’affaires mondial pour les cas graves
  • Dommages moraux ou punitifs possibles en cas d’action collective

La CAI (Commission d’accès à l’information du Québec) a déjà commencé à mener des vérifications. Il ne s’agit plus de se préparer à la loi : elle s’applique déjà.

Que doivent faire les PME d’ici 2025 ?

Voici un plan d’action simple pour amorcer votre conformité :

  1. Nommer une personne responsable officiellement
  2. Faire l’inventaire des données personnelles que vous recueillez et conservez
  3. Mettre à jour vos politiques de confidentialité (site web, RH, ventes, etc.)
  4. Réviser vos ententes avec fournisseurs et sous-traitants (inclure des clauses sur la protection des données)
  5. Former vos employés sur les bonnes pratiques en matière de données personnelles
  6. Mettre en place une procédure en cas d’incident (fuite de données, courriel mal envoyé, etc.)
  7. Conserver une documentation claire en cas de vérification par la CAI (Commission d’accès à l’information du Québec)

Besoin d’un accompagnement pour la loi 25 ? Contactez-nous.

Simon Marcil

Président

Autre articles

24 avril 2025 La boîte de réception zéro, ce n’est pas un mythe ! Découvrez comment avec Outlook et Microsoft To Do J’ai toujours été assez bon pour gérer mes courriels. J'étais organisé mais ma boîte de réception n'était jamais vraiment vide.
7 mai 2025 Utilisez Microsoft 365 sur votre téléphone et votre tablette ! Microsoft 365 ne se limite pas à votre ordinateur. C’est aussi une suite d’applications mobiles qui vous permet de rester productif où que vous soyez.
31 mai 2022 2FA sur tout! L'authentification à deux facteurs (2FA) ou l'authentification multifactorielle (MFA) est la technologie la plus importante à adopter pour renforcer la sécurité de vos données. Pourquoi? Qu'est-ce que c'est? En avez-vous vraiment besoin?
Tous les articles

Vous cherchez un nouveau partenaire TI?

Planifiez un appel exploratoire de 30 minutes avec Marc, cofondateur de S3 et VP du succès client, pour voir si nos services répondent à vos besoins avant de procéder à une analyse approfondie.

  • Discuter de votre environnement TI et de vos défis
  • Partager ce que vous recherchez chez un partenaire
  • Voir s’il y a un bon fit entre vos besoins et ce que nous offrons

« * » indique les champs nécessaires

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.
Planifier un appel exploratoire

Un appel de 30 minutes avec Marc, cofondateur de S3, pour explorer si nos services répondent à vos besoins avant de procéder à une analyse approfondie.

« * » indique les champs nécessaires

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Vous pouvez également nous contacter au 514-284-6262 ou à ventes@s3tech.ca