Loi 25 pour PME : Vos obligations en protection des données (et comment vous y conformer)

La Loi 25 est maintenant en vigueur. Est-ce que votre PME est prête? Voici ce que vous devez savoir — en clair, et sans jargon juridique.

Martin Rainville

2 min read
Image informative sur la Loi 25 avec icône de dossier sécurisé et logo de LKB360

La Loi 25 est en vigueur, et toutes les entreprises québécoises, y compris les PME, sont concernées. Elle modernise la façon dont vous devez traiter les renseignements personnels, et elle vous oblige à changer certaines pratiques, notamment en informatique.

Dans cet article, on vous explique ce que vous devez savoir, sans détour, ni jargon juridique.

📌 En résumé : qu’est-ce que la Loi 25?

Anciennement appelée projet de loi 64, la Loi 25 est une réforme majeure de la protection des renseignements personnels au Québec. Elle vise à redonner plus de contrôle aux individus sur leurs données, et à responsabiliser les entreprises dans leur gestion.

Les nouvelles obligations sont progressives, mais plusieurs sont déjà en vigueur, dont :

  • La désignation d’un responsable de la protection des renseignements personnels
  • La tenue d’un registre des incidents
  • L’obligation de mettre en place des mesures de sécurité appropriées
  • Le consentement explicite pour l’utilisation des données sensibles

🎯 Qui est concerné?

Toutes les entreprises québécoises qui collectent, détiennent ou utilisent des renseignements personnels dans le cadre de leurs activités commerciales, peu importe leur taille ou leur secteur.

🧠 Un simple fichier Excel avec des noms et courriels de clients, c’est déjà un traitement de renseignements personnels.

🛠️ Ce que ça implique concrètement pour votre PME

Voici quelques exemples concrets de ce que la loi exige (ou exigera prochainement) :

  • Tenir un inventaire clair des données personnelles que vous gérez
  • Limiter l’accès aux données uniquement aux personnes autorisées
  • Documenter vos pratiques et justifier les accès
  • Être capable de détruire ou anonymiser les données lorsqu’elles ne sont plus nécessaires
  • Avoir un plan en cas d’incident, incluant les notifications obligatoires

🚨 Que risque-t-on en cas de non-conformité?

Les sanctions prévues sont sérieuses :

  • Amendes administratives jusqu’à 25 M$ ou 4 % du chiffre d’affaires mondial
  • Plainte à la CAI par les personnes concernées
  • Perte de confiance de vos clients ou partenaires

✅ Comment vous préparer?

Voici quelques premières étapes simples et efficaces :

  1. Désignez un responsable de la protection des renseignements personnels
  2. Faites un état des lieux de vos données et de vos outils
  3. Documentez vos processus (accès, conservation, sécurité)
  4. Mettez en place des outils informatiques adaptés (postes gérés, sauvegardes, MFA...)
  5. Sensibilisez vos employés : la sécurité commence par eux

🧩 Et maintenant?

Vous n’avez pas besoin d’être expert en droit ou en cybersécurité pour commencer. Mais vous devez agir. Voici comment nous pouvons vous aider concrètement :

  • ✅ Nous nous concentrons sur notre expertise : la gestion saine de votre environnement TI, la sécurité de vos outils Microsoft 365 et la conformité technique.
  • 🤝 Nous ne prétendons pas tout faire — la Loi 25 touche aussi le droit et les processus internes.
  • 🔗 C’est pourquoi nous travaillons avec des partenaires spécialisés pour vous accompagner dans la mise en place de politiques, processus et documentation interne.
  • 📈 Ensemble, nous pouvons bâtir une approche réaliste, concrète et adaptée aux PME québécoises.

📞 Contactez-nous ou explorez nos conseils pratiques sur notre blogue.

📚 Références utiles

📩 Nous contacter

Découvrir d’autres articles