Aller au contenu
Avis d'experts

Loi 25 | Quelles sont les principales obligations des PME?

Loi 25: obligations des pme pour la protection des renseignements personnels

Écrit par :

Publié le 1 avril 2025

Contrairement à une idée reçue, la loi 25 portant sur les renseignements personnels concerne aussi les PME. Quelles sont vos obligations?

Au Québec, toute entreprise, incluant les petites et moyennes entreprises (PME), qui collecte, utilise ou conserve des renseignements personnels doit revoir sa gestion des renseignements personnels pour s’assurer de se conformer à la loi 25.

Comment y parvenir? Voici les étapes à suivre pour vous conformer à la loi, leur description et la manière de réaliser ces objectifs.

1 – Nommer un responsable de la protection des renseignements personnels

Chaque entreprise doit désigner une personne chargée d’assurer la conformité aux nouvelles règles. Par défaut, c’est le dirigeant de l’entreprise, mais il est pratique courante de nommer un employé ou un consultant pour cette tâche.

2 – Assurer la transparence sur la collecte des données

Toute entreprise collectant des renseignements personnels doit informer la personne concernée, au moment de la collecte, des éléments suivants:

  • Pourquoi ces données sont-elles collectées (ex. : facturation, ouverture de dossier, infolettre)?
  • Comment sont-elles collectées (ex. : formulaires en ligne, en personne)?
  • Quels sont les droits des individus : accès, rectification et retrait du consentement?
  • À qui ces données peuvent-elles être communiquées (ex. : fournisseurs, partenaires commerciaux, entités situées à l’extérieur du Québec)?

Si vous utilisez des technologies permettant l’identification, la localisation ou le profilage (ex. : témoins, couramment appelés cookies, outils de suivi en ligne), votre entreprise doit informer les personnes concernées à l’avance et leur offrir des moyens d’activer ou de désactiver ces fonctionnalités.

3 – Obtenir un consentement

Les personnes concernées par la collecte doivent donner un consentement clair avant que leurs données soient collectées, en lien notamment avec les informations mentionnées au point 2.

Exemple: un formulaire de contact doit inclure une case à cocher confirmant l’acceptation de la collecte des renseignements personnels sensibles.

4 – Mettre en place des mesures de sécurité adéquates

Vous devez protéger les données que votre entreprise détient, notamment contre les pertes, les communications non autorisées ou les cyberattaques. Cela inclut:

  • l’utilisation de mots de passe sécurisés et de logiciels à jour;
  • le chiffrement des données sensibles;
  • la mise en place d’une politique interne de gestion des accès.

5 – Mettre en place des procédures pour gérer les demandes et incidents

La loi 25 exige que les entreprises prévoient des procédures claires pour gérer diverses situations impliquant les renseignements personnels, dont voiciles principales.

Les demandes d’accès et de rectification

Vous devez permettre aux personnes concernées de consulter les renseignements détenus sur elles et de demander des corrections si nécessaire.

Le retrait du consentement

Il vous faut aussi offrir un moyen simple pour qu’un individu puisse retirer son consentement à l’utilisation ou à la communication de ses données.

Le traitement des plaintes

Vous avez l’obligation de mettre en place un processus interne pour gérer les plaintes relatives à la protection des renseignements personnels.

Les incidents de confidentialité

Vous devez également documenter tout incident de confidentialité de données (piratage, divulgation accidentelle, etc.) et notifier la Commission d’accès à l’information du Québec et les personnes concernées si le risque de préjudice est sérieux.

6 – Effectuer une évaluation des facteurs relatifs à la vie privée (EFVP)

Avant de communiquer des renseignements personnels à l’extérieur du Québec ou de lancer un projet impliquant leur collecte, leur utilisation ou leur conservation (ex. : acquisition de nouvelles technologies, développement ou refonte de systèmes informatiques, prestation électronique de services), votre entreprise doit réaliser une EFVP.

Cette évaluation permet de mesurer les risques liés à la protection des renseignements personnels et d’adopter des mesures adaptées pour assurer leur sécurité et leur conformité à la loi 25.

Par exemple, une PME qui fait migrer ses bases de données vers un service infonuagique hébergé à l’étranger doit d’abord réaliser une EFVP pour s’assurer que les renseignements personnels resteront protégés conformément aux normes québécoises.

7- Assurer un accès facile aux renseignements personnels

Lorsqu’une personne concernée demande une copie de ses renseignements personnels, votre entreprise doit les lui fournir dans un format structuré, ouvert et couramment utilisé, facilitant ainsi leur consultation et leur réutilisation.

Formats adaptés à la portabilité: CSV, XML, JSON (formats ouverts lisibles par différents systèmes).

Formats à éviter: PDF, images (JPEG, PNG) ou tout format nécessitant un logiciel propriétaire ou une licence payante pour être exploité.

Ces étapes vous permettront de répondre à la majorité des critères entourant la loi 25. Préparez votre PME dès maintenant. En adoptant des pratiques modernes et sécurisées en matière de gestion des données, vous ferez d’une pierre deux coups. Vous éviterez des sanctions et vous rendrez votre entreprise plus fiable et attrayante, au diapason de votre marché. N’attendez pas pour vous conformer!

Besoin d’accompagnement? Faites évaluer la conformité de votre entreprise par un expert en protection des renseignements personnels.

Cet article a été rédigé en collaboration avec Sabrina Roy, conseillère principale en gouvernance de l’information chez Raymond Chabot Grant Thornton.

Le lien de cette page a été copié dans votre presse-papier