Conformité & Loi 25

Loi 25 en 2026 : ce que chaque PME québécoise doit avoir en place

Deux ans après son entrée en vigueur complète, la Loi 25 continue de surprendre — et de sanctionner. Voici l'état précis des obligations applicables aux PME québécoises en 2026, avec les actions concrètes à poser.

10 min de lecture Équipe Comulead Mars 2026
Loi 25 en 2026 — obligations des PME québécoises en protection des données personnelles
Publié · Mars 2026

Loi 25 : rappel du cadre et du calendrier d'application

La Loi 25 — officiellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (anciennement Loi 64) — a été adoptée en 2021 et déployée en trois phases échelonnées de 2022 à 2023. En 2026, toutes les obligations sont pleinement en vigueur et la Commission d'accès à l'information (CAI) du Québec a intensifié ses activités d'inspection et de sanction.

La loi s'applique à toute entreprise qui collecte, utilise, communique ou conserve des renseignements personnels sur des résidents du Québec — quelle que soit la taille de l'organisation. Il n'existe pas d'exemption PME. La méconnaissance de la loi n'est pas non plus une défense recevable devant la CAI.

Les amendes prévues par la Loi 25 peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial — le montant le plus élevé étant retenu. Pour une PME, même une sanction administrative mineure peut représenter un risque de réputation significatif auprès de clients B2B.

1. Gouvernance : responsable de la protection des renseignements personnels

C'est l'obligation la plus souvent négligée dans les PME — et l'une des premières vérifiées par la CAI lors d'une inspection. Chaque organisation doit désigner formellement un Responsable de la protection des renseignements personnels (RPRP).

Ce que la loi exige concrètement

  • Désignation officielle d'un RPRP — par défaut, la personne ayant la plus haute autorité dans l'organisation (CEO, DG). La fonction peut être déléguée à un autre membre de l'équipe ou à un prestataire externe.
  • Publication du titre et des coordonnées du RPRP sur le site web de l'entreprise — accessible sans inscription ni connexion.
  • Mise en place d'un processus documenté de traitement des demandes d'accès et de correction des renseignements personnels.
  • Tenue d'un registre des incidents de confidentialité (breaches) — même les incidents non signalés à la CAI doivent être consignés.

Ce qui est fréquemment manquant dans les PME

L'audit des PME québécoises révèle régulièrement trois lacunes : absence de page de politique de confidentialité à jour (ou politique copiée d'un modèle générique non adaptée à l'activité réelle), coordonnées du RPRP introuvables ou absentes du site, et absence total de registre des incidents.

2. Consentement : collecter et gérer correctement

La Loi 25 a fondamentalement redéfini les conditions du consentement valable. Le consentement implicite — naviguer sur un site, cocher une case pré-cochée, ne pas s'opposer — n'est plus suffisant pour la plupart des usages.

Consentement manifeste, libre et éclairé

Pour être valable, le consentement doit être :

  • Manifeste : une action positive et délibérée de la personne (cocher une case non pré-cochée, cliquer sur un bouton explicite).
  • Libre : sans conditionnement du service à l'acceptation du consentement, sauf si les renseignements sont nécessaires à la prestation.
  • Éclairé : la personne doit comprendre clairement à quoi elle consent, qui collecte, dans quel but, et comment exercer ses droits.
  • Granulaire : un seul consentement global pour toutes les finalités n'est plus acceptable. Chaque usage distinct nécessite un consentement distinct.

Formulaires et cookies : points de vigilance en 2026

Les bannières de cookies restent l'un des points les plus vérifiés. En 2026, une bannière conforme doit permettre de refuser les cookies non essentiels aussi facilement qu'de les accepter — un bouton « Tout accepter » sans bouton « Tout refuser » équivalent viole la Loi 25. Les formulaires de collecte doivent également indiquer la finalité de chaque champ collecté.

3. Transparence : politique de confidentialité et avis

La politique de confidentialité n'est plus un document légal accessoire — c'est un document opérationnel qui doit refléter exactement la réalité de vos pratiques de collecte et de traitement.

Élément obligatoireDétail requisStatut fréquent PME
Finalités de collecteListe exhaustive des raisons pour lesquelles les données sont collectéesSouvent incomplet
Catégories de renseignementsTypes précis de données collectées (nom, courriel, comportement, IP…)Souvent générique
Tiers destinatairesNom ou catégorie de chaque tiers recevant les données (fournisseurs SaaS, partenaires)Souvent absent
Hébergement et paysPays où les données sont stockées et traitéesSouvent absent
Durée de conservationPériode de rétention par catégorie de donnéesSouvent vague
Droits des individusProcédure concrète pour accès, correction, suppression, portabilitéGénéralement présent
Coordonnées RPRPNom, titre, courriel du responsable désignéSouvent absent

4. Sécurité : évaluation des facteurs relatifs à la vie privée (EFVP)

La Loi 25 introduit une obligation nouvelle et souvent méconnue : réaliser une Évaluation des facteurs relatifs à la vie privée (EFVP) avant tout projet qui implique la collecte ou l'utilisation de renseignements personnels à grande échelle, ou qui recourt à des technologies de surveillance ou de profilage.

Quand une EFVP est-elle obligatoire pour une PME ?

  • Lancement d'un nouveau produit ou service collectant des données personnelles
  • Mise en place d'un système d'analyse comportementale ou de profilage client
  • Acquisition d'un outil SaaS qui traite des données de vos clients ou employés
  • Projet d'automatisation impliquant des décisions individuelles basées sur des données personnelles
  • Transfert de données à un prestataire situé hors du Québec

Ce que doit contenir une EFVP

Une EFVP n'est pas nécessairement un document de 50 pages — pour une PME, un document structuré de 3 à 5 pages suffit dans la majorité des cas, couvrant : la description du projet, les données impliquées, les risques identifiés, les mesures d'atténuation prévues, et l'approbation formelle du RPRP.

5. Incidents de confidentialité : détection et notification

L'obligation de notification des incidents est l'une des plus contraignantes opérationnellement. La Loi 25 distingue deux niveaux de réponse selon la gravité de l'incident.

Type d'incidentObligation envers la CAIObligation envers les personnes concernéesDélai
Incident à risque sérieuxNotification obligatoireNotification obligatoireDès que possible — dans les meilleurs délais
Incident sans risque sérieuxConsignation au registre uniquementNon requiseSans délai précis, mais sans délai inutile

Un « risque sérieux » est défini comme un préjudice potentiel significatif pour la personne concernée : vol d'identité, discrimination, préjudice financier, atteinte à la réputation. En cas de doute sur la qualification, la CAI recommande de notifier — le défaut de notification est systématiquement plus lourdement sanctionné que la notification préventive.

Checklist de conformité Loi 25 pour PME — état 2026

Voici la liste de vérification pratique pour évaluer rapidement votre niveau de conformité :

  1. RPRP désigné formellement, titre et coordonnées publiés sur le site web
  2. Politique de confidentialité à jour, reflétant les pratiques réelles, accessible depuis toutes les pages
  3. Bannière de cookies conforme : refus aussi accessible qu'acceptation, sans case pré-cochée
  4. Formulaires de collecte documentés avec finalités explicites pour chaque champ
  5. Registre des incidents de confidentialité tenu et accessible au RPRP
  6. Processus documenté pour traiter les demandes d'accès, correction et suppression dans les 30 jours
  7. Inventaire des fournisseurs SaaS traitant des données personnelles et contrats de confidentialité à jour
  8. EFVP réalisée pour chaque nouveau projet ou outil impliquant des données personnelles
  9. Durées de conservation définies et appliquées pour chaque catégorie de données
  10. Formation minimale des membres de l'équipe ayant accès à des données personnelles

La conformité Loi 25 n'est pas un projet ponctuel — c'est un processus continu. Les pratiques de collecte évoluent, les outils SaaS changent, les équipes s'agrandissent. Un audit annuel de votre conformité est la norme recommandée par la CAI pour les PME de 10 à 200 employés.

Pour les PME qui font affaires à l'international, consultez notre article sur les différences clés entre la Loi 25 et le RGPD — notamment si vous avez des clients ou partenaires en Europe.

Hébergement Montréal · Loi 25 conforme

Cortex Voice est hébergé au Québec et conçu pour la conformité Loi 25 — sans configuration supplémentaire de votre part.

Réserver une démo

Continuer à lire

Voir tous les articles
RGPD et Loi 25 différences PME
Conformité & Loi 25 RGPD et Loi 25 : les différences clés pour les PME québécoises qui exportent
Automatiser sondages NPS conformité
Automatisation Automatiser vos sondages NPS : de Zapier à Cortex, le guide pratique PME
Données de ventes PME intelligence d'affaires
Intelligence d'affaires Données de ventes : comment les PME passent de l'intuition à l'intelligence d'affaires

Intelligence d'affaires conçue pour les PME québécoises — en français, hébergée au Canada.

Conçu & hébergé au Québec

Réserver une démo
Produits
Entreprise
Contact
Adresse
2556 Chemin de la Petite-Côte
Laval, Québec, Canada
Suivre sur LinkedIn
© 2026 Comulead inc. — Tous droits réservés.
Mentions légales Politique de confidentialité Politique de cookies Loi 25 Gérer mes préférences