← Blogue·15 juillet 2026
Loi 25 pour les PME : la liste complète des obligations en 2026
La Loi 25 (qui modernise la Loi sur la protection des renseignements personnels dans le secteur privé) s'applique à toute entreprise qui détient des renseignements personnels : clients, prospects, employés, candidats. Il n'y a pas de seuil de taille : le travailleur autonome qui tient une liste de clients est visé au même titre que la grande entreprise.
Ses obligations sont entrées en vigueur par vagues (2022, 2023, 2024). Depuis septembre 2024, tout est en application. Voici la liste complète, dans l'ordre où une PME devrait s'y attaquer.
1. Désigner un responsable de la protection des renseignements personnels
Par défaut, c'est la personne ayant la plus haute autorité : le ou la propriétaire. Cette fonction peut être déléguée par écrit. Le titre et les coordonnées du responsable doivent être publiés sur votre site web (art. 3.1).
Concrètement : une lettre de désignation signée, et un bloc de contact sur votre site.
2. Publier une politique de confidentialité exacte
Si vous recueillez des renseignements par un moyen technologique, une politique « en termes clairs et simples » est obligatoire (art. 8.2). Elle doit décrire vos pratiques réelles, pas celles d'un modèle générique.
Concrètement : voyez notre guide détaillé sur ce qu'une politique doit contenir.
3. Tenir l'inventaire de vos renseignements (registre)
Vous devez savoir, et pouvoir démontrer, quels renseignements vous détenez, où ils sont stockés, pourquoi, qui y accède et combien de temps vous les gardez. C'est le fondement de tout le reste : impossible de répondre à une demande d'accès ou de gérer un incident sans cet inventaire.
Concrètement : un registre des renseignements personnels, tenu à jour à chaque nouvel outil ou nouvelle collecte.
4. Encadrer vos fournisseurs et les transferts hors Québec
Presque tous les outils infonuagiques des PME (infolettre américaine, CRM, analytique) envoient des renseignements à l'extérieur du Québec. Avant une telle communication, la loi exige une évaluation des facteurs relatifs à la vie privée (EFVP) et une entente assurant une protection adéquate (art. 17).
Concrètement : un registre de vos fournisseurs avec leur localisation, les EFVP documentées pour ceux hors Québec, et une copie des ententes ou conditions de service.
5. Se préparer aux incidents de confidentialité
Un courriel au mauvais destinataire, un portable perdu, un compte compromis : ce sont des incidents de confidentialité. Chaque incident doit être consigné dans un registre conservé au moins cinq ans. S'il présente un « risque de préjudice sérieux », vous devez aviser la CAI et les personnes concernées (art. 3.5 à 3.8).
Concrètement : une procédure écrite de réponse (contenir, évaluer, aviser, consigner) et un registre des incidents, préparés avant l'incident, pas pendant.
6. Obtenir des consentements valides
Le consentement doit être manifeste, libre, éclairé et donné à des fins spécifiques. Deux cas particuliers fréquents en PME :
- Les témoins (cookies) : toute technologie d'identification, de localisation ou de profilage doit être désactivée par défaut (art. 8.1). Une bannière qui « informe » pendant que Google Analytics tourne déjà n'est pas conforme.
- Les mineurs de moins de 14 ans : le consentement d'un parent ou tuteur est requis.
7. Respecter les droits des personnes
Toute personne peut demander l'accès à ses renseignements, leur rectification, le retrait de son consentement et, depuis septembre 2024, la portabilité de ses renseignements informatisés. Vous avez 30 jours pour répondre.
Concrètement : un point de contact clair (le courriel de votre responsable), et un registre qui vous permet de retrouver rapidement ce que vous détenez sur une personne.
8. Limiter la conservation et détruire
Un renseignement dont la fin est accomplie doit être détruit ou anonymisé. « On garde tout au cas où » est une infraction, et elle multiplie les dégâts en cas de fuite.
Concrètement : un calendrier de conservation simple (ex. : dossiers clients inactifs supprimés après X années, CV non retenus après 6 mois), appliqué.
9. Cas particuliers à connaître
- Biométrie : la création d'une banque de caractéristiques biométriques (ex. : pointeuse à empreintes) doit être déclarée à la CAI avant sa mise en service.
- EFVP pour les nouveaux systèmes : tout projet d'acquisition ou de refonte d'un système traitant des renseignements personnels exige une EFVP en amont.
- Vidéosurveillance : nécessaire, proportionnée, affichée.
Par où commencer ?
L'erreur classique est de commencer par la politique (le document visible) sans l'inventaire (le fondement). L'ordre efficace : responsable → inventaire → politique → fournisseurs → incidents → droits → conservation.
C'est exactement le chemin que suit l'entrevue guidée d'En Règle : une trentaine de questions en français simple, et vos cinq documents de conformité sont générés à partir de vos réponses, avec un score sur 100 et la liste priorisée de ce qui reste à corriger. Évaluez d'abord où vous en êtes en 3 minutes.