Ressource · Protection des renseignements personnels

La Loi 25 expliquée: ce que chaque PME québécoise doit savoir

Obligations, échéances, amendes pouvant atteindre 25 millions de dollars, hébergement des données: voici le portrait complet de la Loi 25, expliqué sans jargon juridique, et la façon dont Pratcom Média intègre la conformité dans chacun de ses projets.

En résumé

La Loi 25 est la loi québécoise qui modernise la protection des renseignements personnels. Adoptée en septembre 2021 et appliquée par phases de 2022 à 2024, elle oblige toute entreprise qui recueille des renseignements personnels au Québec, peu importe sa taille, à obtenir un consentement valide, à protéger les données, à signaler les incidents et à nommer un responsable. Les sanctions peuvent atteindre 25 millions de dollars ou 4 % du chiffre d’affaires mondial.

Comprendre la loi

Qu’est-ce que
la Loi 25 ?

La Loi 25 (officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est entrée en vigueur progressivement en trois vagues: septembre 2022, septembre 2023 et septembre 2024. Elle s’applique à toute entreprise privée qui recueille, détient, utilise ou communique des renseignements personnels au Québec, qu’elle ait 2 ou 2 000 employés. Un nom, un courriel, un numéro de téléphone ou une adresse IP recueillis par votre site web suffisent pour que la loi s’applique à vous.

Depuis 2022

Responsable et incidents

Chaque entreprise doit désigner un responsable de la protection des renseignements personnels et tenir un registre des incidents de confidentialité. Tout incident présentant un risque de préjudice sérieux doit être signalé à la Commission d’accès à l’information et aux personnes concernées.

Depuis 2023

Consentement et transparence

Le gros des obligations: consentement clair et granulaire pour les témoins (cookies) et le marketing, politique de confidentialité publiée en termes simples, paramètres de confidentialité activés par défaut et évaluation des facteurs relatifs à la vie privée (EFVP) pour les projets sensibles.

Depuis 2024

Portabilité des données

Toute personne peut demander de recevoir ses renseignements personnels dans un format technologique structuré et couramment utilisé, ou de les faire transmettre à une autre organisation. Vos systèmes doivent pouvoir exporter ces données sur demande.

En continu

Minimisation et destruction

Ne recueillir que les renseignements nécessaires aux fins annoncées, les conserver seulement le temps requis, puis les détruire ou les anonymiser de façon sécuritaire. La collecte « au cas où » n’est plus permise.

L’application · Connect Privacy

Connect Privacy: la conformité automatisée.

Connect Privacy est le module de conformité de la suite Pratcom Connect. Il automatise les obligations techniques de la Loi 25 sur votre site: bannière de consentement granulaire (analytique, marketing, fonctionnel), scan automatique des témoins et des outils de suivi, génération de la politique de confidentialité et registre des consentements horodaté, prêt à présenter en cas de vérification. Il s’installe en quelques minutes sur WordPress via le connecteur Pratcom Connect, fonctionne en français et en anglais, et vos données restent hébergées au Canada, exportables en tout temps.

Pénalités et amendes

Ce que coûte
la non-conformité.

La Loi 25 a donné à la Commission d’accès à l’information (CAI) de véritables pouvoirs de sanction, alignés sur les standards du RGPD européen. Trois niveaux de risque financier s’appliquent aux entreprises.

Sanctions administratives

Jusqu’à 10 M$ ou 2 %

La CAI peut imposer des sanctions administratives pécuniaires allant jusqu’à 10 millions de dollars ou 2 % du chiffre d’affaires mondial, selon le montant le plus élevé. Elles visent les manquements courants: consentement invalide, absence de politique, défaut de protection.

Infractions pénales

Jusqu’à 25 M$ ou 4 %

Les infractions graves (entrave à une enquête, défaut de signaler un incident, collecte illégale) sont passibles d’amendes pénales pouvant atteindre 25 millions de dollars ou 4 % du chiffre d’affaires mondial, selon le montant le plus élevé. Les montants doublent en cas de récidive.

Poursuites civiles

Dommages punitifs dès 1 000 $

Toute personne lésée par une atteinte illicite à un droit conféré par la loi peut réclamer des dommages-intérêts. Lorsque l’atteinte est intentionnelle ou résulte d’une faute lourde, des dommages punitifs d’au moins 1 000 $ s’ajoutent, et les recours collectifs sont possibles.

Au-delà des amendes, le vrai coût est souvent la perte de confiance des clients et le temps de gestion de crise. La prévention coûte une fraction de la sanction.

Hébergement et serveurs canadiens

Où vos données dorment-elles la nuit ?

La Loi 25 n’interdit pas d’héberger des données à l’extérieur du Québec, mais elle encadre sévèrement cette pratique: avant tout transfert hors province, l’entreprise doit réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) et démontrer que les renseignements bénéficient d’une protection adéquate. Concrètement, héberger sur des serveurs américains expose aussi vos données aux lois étrangères comme le CLOUD Act. C’est pourquoi Pratcom Média privilégie l’hébergement au Canada pour les sites de ses clients et pour la suite Pratcom Connect: souveraineté des données, conformité simplifiée, latence réduite pour vos visiteurs d’ici, et un argument de confiance concret à présenter à vos propres clients.

Notre approche

Comment Pratcom intègre la Loi 25
dans chaque projet.

01

Audit de départ

On scanne votre site: témoins déposés, formulaires, outils de suivi, politique existante. Vous savez exactement où vous en êtes.

02

Conformité intégrée

Bannière de consentement, politique de confidentialité, consentement des formulaires et de l’infolettre: la conformité est construite dans le site, pas ajoutée après coup.

03

Hébergement canadien

Sites et données hébergés au Canada, communications chiffrées, accès contrôlés. Vos renseignements et ceux de vos clients restent ici.

04

Suivi continu

La loi évolue et votre site aussi. Les outils changent, les témoins s’ajoutent: on garde votre conformité à jour avec Connect Privacy.

Pourquoi c’est important

Bien plus qu’une obligation légale.

La Loi 25 est d’abord une question de confiance. Vos clients confient leur nom, leur courriel et leurs besoins d’affaires à votre site web ; ils s’attendent à ce que ces renseignements soient protégés. Une entreprise transparente sur la gestion des données convertit mieux: la bannière de consentement, la politique claire et les pratiques rigoureuses sont devenues des signaux de sérieux, au même titre qu’un site rapide et professionnel. À l’inverse, un incident de confidentialité mal géré coûte des clients, une réputation et, depuis la Loi 25, des amendes substantielles. Pour une PME, la conformité est aussi un avantage concurrentiel: la majorité des sites québécois ne sont toujours pas conformes.

Questions fréquentes

La Loi 25: vos questions.

La Loi 25 s’applique-t-elle à ma petite entreprise ?

Oui. La Loi 25 s’applique à toute entreprise privée qui recueille, détient, utilise ou communique des renseignements personnels au Québec, sans seuil de taille ou de chiffre d’affaires. Si votre site web a un formulaire de contact, une infolettre ou des outils de mesure d’audience, vous êtes concerné.

Quelles sont les amendes prévues par la Loi 25 ?

Trois niveaux: des sanctions administratives jusqu’à 10 millions de dollars ou 2 % du chiffre d’affaires mondial, des amendes pénales jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial (doublées en cas de récidive), et des poursuites civiles avec dommages punitifs d’au moins 1 000 $ en cas d’atteinte intentionnelle.

Mes données doivent-elles être hébergées au Canada ?

Ce n’est pas une obligation absolue, mais tout transfert de renseignements personnels hors du Québec exige une évaluation des facteurs relatifs à la vie privée (EFVP) démontrant une protection adéquate. Héberger au Canada simplifie grandement la conformité et protège vos données des lois étrangères. C’est la pratique de Pratcom Média pour ses clients.

Par où commencer pour me conformer à la Loi 25 ?

Quatre gestes prioritaires: désigner un responsable de la protection des renseignements personnels, publier une politique de confidentialité claire, installer une bannière de consentement granulaire pour les témoins, et inventorier les renseignements que vous recueillez. Un audit de site, comme la vérification gratuite de Pratcom, identifie rapidement les écarts.

Google Analytics est-il conforme à la Loi 25 ?

Les outils de mesure d’audience peuvent être utilisés, mais seulement avec le consentement préalable du visiteur, puisqu’ils déposent des témoins et peuvent transférer des données hors Québec. C’est exactement le rôle d’une bannière de consentement conforme: aucun témoin non essentiel ne se charge avant le consentement.

Que fait concrètement Connect Privacy ?

Connect Privacy automatise les obligations techniques de la Loi 25 sur votre site: bannière de consentement granulaire, scan des témoins et des outils de suivi, génération de la politique de confidentialité et registre des consentements horodaté. Il s’installe en quelques minutes sur WordPress et fonctionne en français et en anglais.

Votre site est-il conforme
à la Loi 25 ?

Vérification gratuite et sans engagement: on scanne votre site, on identifie les écarts et on vous dit exactement quoi corriger.