← Blogue·15 juillet 2026
Amendes Loi 25 : ce que risque réellement une PME au Québec
« Jusqu'à 25 millions de dollars d'amende. » C'est le chiffre qui circule dans tous les articles sur la Loi 25, et il est exact. Mais brandi seul, il informe mal : une PME de huit employés ne recevra pas une amende de 25 M$ demain matin. Voici ce que la loi prévoit réellement, et surtout ce qui menace concrètement une PME.
Les trois régimes de sanctions
1. Les sanctions administratives pécuniaires (CAI)
La Commission d'accès à l'information peut imposer des sanctions administratives pouvant atteindre 10 M$ ou 2 % du chiffre d'affaires mondial, le montant le plus élevé. Elles visent des manquements documentés : ne pas avoir de politique, ne pas déclarer un incident, ne pas respecter les règles de consentement.
Pour une PME, le montant serait proportionné, mais le processus lui-même (enquête, demandes de documents, décision publique) est déjà coûteux en temps et en réputation.
2. Les infractions pénales
Pour les manquements les plus graves, des poursuites pénales peuvent atteindre 25 M$ ou 4 % du chiffre d'affaires mondial. C'est le régime des cas extrêmes (collecte illégale délibérée, entrave à une enquête), pas celui du garagiste qui n'a pas de calendrier de conservation.
3. Les dommages-intérêts punitifs (poursuites civiles)
Le régime le plus sous-estimé : la loi ouvre la porte à des poursuites civiles, avec des dommages punitifs d'au moins 1 000 $ lorsqu'une atteinte à un droit est intentionnelle ou résulte d'une faute lourde. Multipliez par le nombre de clients touchés par une fuite, et le calcul devient rapidement inquiétant pour une petite entreprise.
Ce qui arrive en pratique
La CAI traite les plaintes du public : un client mécontent, un ex-employé, un concurrent. Le scénario typique pour une PME n'est pas la descente surprise : c'est la lettre de la CAI qui fait suite à une plainte et demande vos documents. Ce jour-là, la question n'est pas « êtes-vous parfait ? » mais « pouvez-vous démontrer des efforts sérieux ? » : un responsable désigné, une politique exacte, des registres tenus.
L'entreprise qui peut produire ces documents en 24 heures raconte une toute autre histoire que celle qui n'a rien.
Le risque le plus fréquent n'est pas l'amende
Pour la plupart des PME, le premier « contrôleur » de conformité n'est pas la CAI. C'est :
- Un client corporatif dont le service des achats exige une preuve de conformité avant de signer ou de renouveler un contrat. De plus en plus de donneurs d'ordres posent la question à leurs fournisseurs.
- Un assureur en cyberrisques qui demande vos pratiques avant de vous couvrir, et surtout au moment d'une réclamation.
- Un client final qui exerce son droit d'accès (vous avez 30 jours) et découvre que rien n'existe.
Autrement dit : le coût le plus probable de la non-conformité n'est pas une amende : c'est un contrat perdu, une couverture refusée, ou des semaines de panique à reconstruire des documents dans l'urgence.
Se protéger coûte moins cher qu'on pense
La conformité de base d'une PME tient à quelques documents bien faits et quelques réflexes : un responsable désigné et publié, une politique exacte, un registre des renseignements, un registre des fournisseurs, une procédure d'incidents. Pas besoin d'un mandat à 5 000 $ pour l'essentiel.
Commencez par mesurer votre situation : le test gratuit d'En Règle vous donne votre niveau de risque et vos écarts prioritaires en 3 minutes, sans inscription. Et si des écarts sérieux apparaissent, l'entrevue guidée génère vos cinq documents de conformité en un après-midi.
En Règle est un outil d'accompagnement et ne constitue pas un avis juridique. Les montants cités proviennent des textes de loi publics; pour une situation litigieuse, consultez un professionnel du droit.