Services À propos Blog
(581) 748-8348
Consultation →
Protection des renseignements personnels au Québec

Conformité Loi 25 pour les entreprises du Québec

La Loi 25 oblige toute entreprise et tout OBNL qui détient des renseignements personnels à protéger ces données. SEQUR.CA vous accompagne pour vous mettre en conformité simplement : diagnostic, responsable désigné, politique de confidentialité, formation des employés et plan de gestion des incidents.

PME OBNL Responsable désigné Politique de confidentialité
Évaluer ma conformité → 📞 (581) 748-8348

Qu'est-ce que la Loi 25 ?

La Loi 25 est la loi québécoise qui modernise la protection des renseignements personnels. Officiellement appelée « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels », elle encadre la façon dont les organisations collectent, utilisent, conservent et détruisent les données qu'elles détiennent sur leurs clients, leurs membres et leurs employés.

Ses obligations sont entrées en vigueur par étapes. En septembre 2022, la première vague a imposé la désignation d'un responsable et l'obligation de déclarer les incidents de confidentialité. En septembre 2023, la majorité des obligations sont devenues exécutoires : transparence, consentement, évaluation des facteurs relatifs à la vie privée. En septembre 2024, le droit à la portabilité des données s'est ajouté. La Loi 25 s'applique en plus des lois fédérales sur la vie privée.

Qui est concerné par la Loi 25 ?

Une idée reçue veut que la Loi 25 ne touche que les grandes entreprises. C'est faux. Toute entreprise privée et tout organisme sans but lucratif qui détient des renseignements personnels au Québec est concerné, peu importe sa taille ou son secteur.

Si votre organisation conserve des noms, des courriels, des numéros de téléphone, des adresses, des informations de paiement, des dossiers d'employés ou des données de clients, vous êtes visé. Une PME de trois personnes a les mêmes obligations de base qu'une grande organisation. Les OBNL, souvent dépourvus d'équipe technique, sont particulièrement exposés au risque de non-conformité.

Les obligations clés

La Loi 25 repose sur quelques piliers que chaque organisation doit mettre en place :

  • Désigner un responsable de la protection des renseignements personnels, identifié publiquement et joignable.
  • Publier une politique de confidentialité claire, qui explique quelles données vous collectez, pourquoi et comment vous les protégez.
  • Obtenir le consentement avant de collecter ou d'utiliser des renseignements personnels, et faciliter le retrait de ce consentement.
  • Gérer les incidents de confidentialité : détecter, documenter, et déclarer à la Commission d'accès à l'information et aux personnes touchées quand le risque le justifie.
  • Réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) pour les projets qui impliquent des données sensibles ou un transfert hors Québec.

Pour aller plus loin, consultez notre guide complet sur le lien entre Loi 25 et cybersécurité ou la catégorie Loi 25 et conformité de notre blog.

Notre accompagnement

SEQUR.CA traduit les exigences légales en actions concrètes, sans jargon. Notre démarche suit cinq étapes :

  • Diagnostic — nous cartographions les renseignements personnels que vous détenez : où ils se trouvent, qui y a accès et quels sont les risques.
  • Désignation du responsable — nous aidons à nommer la bonne personne. SEQUR.CA peut aussi agir comme responsable externe de la protection des renseignements personnels ou épauler votre responsable interne.
  • Politiques et documents — rédaction de votre politique de confidentialité, de vos formulaires de consentement et de vos procédures internes.
  • Formation des employés — vos équipes apprennent à reconnaître l'hameçonnage, à protéger les données et à appliquer la Loi 25 au quotidien. Voir notre formation en cybersécurité.
  • Plan de gestion des incidents — une marche à suivre claire pour réagir vite et déclarer correctement une fuite de données.

Notre accompagnement se combine naturellement avec un audit de sécurité et nos services de cybersécurité pour entreprises du Québec, car protéger les données techniquement fait partie intégrante de la conformité.

Sanctions et amendes

La conformité n'est pas optionnelle, et les sanctions peuvent être sévères. La Loi 25 prévoit des amendes administratives et pénales pouvant atteindre jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial de l'entreprise, selon le montant le plus élevé.

Au-delà de l'amende, une fuite mal gérée expose à des poursuites civiles, à une perte de confiance de vos clients et à une atteinte durable à votre réputation. Se mettre en conformité coûte presque toujours moins cher que de subir un incident.

Par où commencer ?

La meilleure façon de commencer est un diagnostic. Avant de rédiger quoi que ce soit, il faut savoir quelles données vous détenez, où elles sont et qui peut y accéder. À partir de là, on désigne un responsable, on rédige la politique de confidentialité, on met en place le plan d'incident et on forme les équipes.

Vous n'avez pas à tout faire seul. Contactez SEQUR.CA pour un premier échange : nous évaluons votre situation et vous proposons un plan d'action clair, adapté à la taille de votre organisation.

Responsable externe ou interne

SEQUR.CA peut agir comme responsable externe de la protection des renseignements personnels, ou épauler votre responsable interne.

Documents prêts à l'emploi

Politique de confidentialité, formulaires de consentement et procédures rédigés pour votre réalité, pas des modèles génériques.

Formation incluse

Vos employés deviennent votre première ligne de défense : hameçonnage, gestion des données, réflexes Loi 25.

Votre organisation est-elle conforme à la Loi 25 ?

Un échange de quelques minutes suffit pour situer vos risques et vos priorités. Sans engagement.

Demander une consultation → 📞 (581) 748-8348

Questions fréquentes sur la Loi 25

C'est quoi la Loi 25 au Québec ?

La Loi 25 est la loi québécoise qui modernise la protection des renseignements personnels. Elle oblige les entreprises et les organismes à protéger les données qu'ils détiennent sur leurs clients et leurs employés, à être transparents sur leur utilisation et à réagir aux incidents de sécurité. Ses obligations sont entrées en vigueur par étapes en 2022, 2023 et 2024.

Qui est concerné par la Loi 25 ?

Toute entreprise privée et tout organisme sans but lucratif (OBNL) qui détient des renseignements personnels au Québec est concerné, peu importe sa taille. Une PME qui collecte des noms, courriels, numéros de téléphone ou informations de paiement doit s'y conformer, au même titre qu'une grande organisation.

Quelles sont les principales obligations de la Loi 25 ?

Désigner un responsable de la protection des renseignements personnels, publier une politique de confidentialité claire, obtenir le consentement avant de collecter ou d'utiliser des données, gérer et déclarer les incidents de confidentialité, et réaliser une évaluation des facteurs relatifs à la vie privée pour les projets à risque.

Faut-il un responsable de la protection des renseignements personnels ?

Oui. La Loi 25 exige que chaque entreprise désigne une personne responsable de la protection des renseignements personnels. Par défaut, c'est la personne ayant la plus haute autorité, mais ce rôle peut être délégué à un employé ou confié à un responsable externe comme SEQUR.CA.

Quelles sont les sanctions et amendes prévues par la Loi 25 ?

Les sanctions peuvent être sévères. Les amendes administratives et pénales peuvent atteindre jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial de l'entreprise, selon le montant le plus élevé. S'ajoute un risque de poursuites civiles en cas de dommages causés par une fuite de données.

Par où commencer pour se conformer à la Loi 25 ?

Commencez par un diagnostic : quelles données détenez-vous, où sont-elles, qui y a accès. Désignez ensuite un responsable, rédigez votre politique de confidentialité, mettez en place un plan de gestion des incidents et formez vos employés. SEQUR.CA peut piloter ces étapes avec vous.